Если правило настроено, будет отключена принудительная проверка для списка хешей subjectPublicKeyInfo. Корпоративные хосты смогут продолжить работу с ненадежными сертификатами, не прошедшими проверку безопасности. Принудительная проверка будет отключена при одном из условий:
* Хеш соответствует полю subjectPublicKeyInfo сертификата сервера.
* Хеш соответствует полю subjectPublicKeyInfo одного из сертификатов центра сертификации (ЦС) в цепочке. Этот сертификат ЦС составлен по правилам, которые определяются расширением nameConstraints стандарта X.509v3. При этом один или несколько параметров nameConstraints для directoryName указаны в поле permittedSubtrees, а структура directoryName содержит атрибут organizationName.
* Хеш соответствует полю subjectPublicKeyInfo одного из сертификатов ЦС в цепочке. В поле Subject сертификата ЦС указаны один или несколько атрибутов organizationName. Те же атрибуты представлены в сертификате сервера в том же количестве и таком же порядке с точностью до байта.
Чтобы задать хеш subjectPublicKeyInfo, следует объединить название алгоритма хеширования, символ "/" и представленный в кодировке Base64 результат применения алгоритма хеширования к DER-представлению subjectPublicKeyInfo нужного сертификата. Кодировка SPKI Fingerprint основана на формате Base64. Единственный алгоритм хеширования, поддерживаемый на текущий момент, – sha256.
Если правило не настроено, то Google Chrome будет считать ненадежными любые сертификаты, не прошедшие проверку безопасности.
Пример значения:
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | Software\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |