对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求

如果您设置了此政策,对于附带指定 subjectPublicKeyInfo 哈希的证书链所对应的一系列旧版证书授权机构 (CA),系统将不会强制执行证书透明度披露要求。因没有恰当公开披露相关信息而不受信任的证书,企业主机也可以继续使用。但是,被识别为旧版 CA 的 CA 证书中必须包含 subjectPublicKeyInfo 哈希,才能关闭强制执行。旧版 CA 是受 Google Chrome 所支持的一种或多种操作系统公开信任但不受 Android 开源项目或 Google Chrome OS信任的 CA。

您只需将以下各项连结起来即可指定 subjectPublicKeyInfo 哈希:哈希算法名称、"/"字符,以及相应哈希算法(对所指定证书的 DER 编码 subjectPublicKeyInfo 应用的哈希算法)的 Base64 编码。Base64 编码的格式与 SPKI 指纹的格式一致。唯一得到认可的哈希算法是 sha256,其他算法都会被忽略。

如果您不设置此政策,Google Chrome 便会将那些应按照证书透明度要求进行披露但却未予披露的证书视为不可信证书。

值示例:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

支持的平台: Microsoft Windows 7 或 Windows Server 2008 家族及以上版本

对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

管理模板(计算机)

管理模板(用户)