不針對列出的舊版憑證授權單位強制執行憑證透明化政策

不強制要求列出的舊版憑證授權單位符合憑證透明化規定。

使用這項政策時,如果憑證鏈結中的憑證包含其中一種指定 subjectPublicKeyInfo 雜湊,系統就不會強制要求這類憑證鏈結符合憑證透明化規定。原本不受信任的憑證 (因未依規定對外公開) 將因此可繼續供企業主機使用。

如要在設定這項政策時停止強制實行憑證透明化規定,雜湊必須為 subjectPublicKeyInfo 形式,且其所屬 CA 憑證必須被認定為舊版憑證授權單位 (CA)。舊版 CA 是預設由一或多個 Google Chrome 支援的作業系統公開信任,但不受 Android 開放原始碼計劃或 Google Chrome OS信任的 CA。

subjectPublicKeyInfo 雜湊的指定方法是串連雜湊演算法名稱、「/」字元,以及套用到指定憑證 subjectPublicKeyInfo (採 DER 編碼) 的雜湊演算法所採用的 Base64 編碼。這個 Base64 編碼的格式與 SPKI 指紋相同,詳細定義請見 RFC 7469 第 2.4 節。系統會忽略無法辨識的雜湊演算法。目前唯一支援的雜湊演算法為「sha256」。

如果未設定這項政策,凡是必須透過憑證透明化作業公開,但並未依憑證透明化政策確實公開的憑證,都會被視為不受信任的憑證。

範例值:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

支援的作業系統: 至少需要 Microsoft Windows 7 或 Windows Server 2008 系列產品

不針對列出的舊版憑證授權單位強制執行憑證透明化政策

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

系統管理範本 (電腦)

系統管理範本 (使用者)