Вимкнути застосування перевірки сертифіката для списку застарілих центрів сертифікації

Вимикає застосування вимог щодо перевірки сертифіката для списку застарілих центрів сертифікації.

Це правило дає змогу вимкнути вимоги щодо розголошення перевірки ланцюжків сертифікатів, якщо в них є сертифікати з указаними хешами інформації про відкритий ключ суб'єкта. Завдяки цьому правилу можна використовувати для хостів підприємства сертифікати, які в іншому випадку вважалися б ненадійними.

Щоб вимкнути застосування перевірки сертифіката, коли це правило налаштовано, хеш повинен мати інформацію про відкритий ключ суб'єкта, що відображається в сертифікаті застарілого ЦС. Застарілим є центр сертифікації, якого вважає надійним принаймні одна операційна система, яку підтримує Google Chrome, але якому не довіряє Проект відкритого коду Android або Google Chrome OS.

Хеш інформації про відкритий ключ суб'єкта визначається через об'єднання назви алгоритму хешу, символу "/" і Base64-кодування алгоритму хешу, що застосовується до інформації про відкритий ключ суб'єкта зазначеного сертифіката з DER-кодуванням. Це кодування Base64 має той самий формат, що й відбиток SPKI, як зазначено в розділі 2.4 стандарту RFC 7469. Нерозпізнані алгоритми хешу ігноруються. Зараз підтримується лише алгоритм sha256.

Якщо це правило не налаштовано, усі сертифікати, які мають виявлятися під час перевірки, але не виявляються, вважатимуться ненадійними.

Приклад значення:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Supported on: Microsoft Windows 7 і новіших версій

Вимкнути застосування перевірки сертифіката для списку застарілих центрів сертифікації

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Administrative Templates (Computers)

Administrative Templates (Users)