Handhaving van Certificaattransparantie voor een lijst met certificeringsinstanties uitschakelen

Hiermee schakel je de handhaving van de vereisten voor certificaattransparantie uit voor een lijst met verouderde certificeringsinstanties.

Met dit beleid kun je de vereisten voor openbaarmaking van certificaattransparantie uitschakelen voor certificaatreeksen die certificaten bevatten met een van de aangegeven subjectPublicKeyInfo-hashes. Zodoende kun je certificaten voor Enterprise-hosts blijven gebruiken die anders niet zouden worden vertrouwd omdat ze niet goed openbaar zijn gemaakt.

Als je de handhaving van certificaattransparantie wilt uitschakelen wanneer dit beleid is ingesteld, moet de hash van subjectPublicKeyInfo zijn en voorkomen in een certificaat van een certificeringsinstantie die als verouderde certificeringsinstantie wordt erkend. Een verouderde certificeringsinstantie is een certificeringsinstantie die openbaar wordt vertrouwd door standaard een of meer besturingssystemen die worden ondersteund door Google Chrome maar die niet wordt vertrouwd door het Android-opensourceproject of door Google Chrome OS.

Je kunt een subjectPublicKeyInfo-hash opgeven door samenvoeging van de naam van het hash-algoritme, het teken '/' en de Base64-codering van dat hash-algoritme toegepast op de subjectPublicKeyInfo met DER-codering van het opgegeven certificaat. Deze Base64-codering heeft dezelfde indeling als een SPKI-fingerprint, zoals gedefinieerd in RFC 7469, deel 2.4. Niet-herkende hash-algoritmen worden genegeerd. Het enige hash-algoritme dat momenteel wordt ondersteund, is 'sha256'.

Als dit beleid niet is ingesteld, worden certificaten die openbaar moeten worden gemaakt via certificaattransparantie behandeld als niet-vertrouwd als het niet openbaar wordt gemaakt in overeenstemming met het beleid voor certificaattransparantie.

Voorbeeldwaarde:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Ondersteund op: Microsoft Windows 7 of later

Handhaving van Certificaattransparantie voor een lijst met certificeringsinstanties uitschakelen

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)