不針對列出的 subjectPublicKeyInfo 雜湊強制執行憑證透明化政策

設定這項政策後,系統不會強制要求列出的 subjectPublicKeyInfo 雜湊依憑證透明化規定公開憑證。此外,因為未依規定對外公開而不受信任的憑證,企業主機也可以繼續使用。雜湊必須符合以下其中一項條件,才能不強制要求公開憑證:

* 雜湊是伺服器憑證的 subjectPublicKeyInfo 雜湊。

* 雜湊是憑證鏈中的憑證授權單位 (CA) 憑證所包含的 subjectPublicKeyInfo 雜湊,且該 CA 憑證必須包含限定格式的 X.509v3 nameConstraints 擴充功能。此外,permittedSubtrees 中有一或多個 directoryName nameConstraints,且 directoryName 具有 organizationName 屬性。

* 雜湊是憑證鏈中的 CA 憑證所包含的 subjectPublicKeyInfo 雜湊,且該 CA 憑證的憑證主體中具有一或多個 organizationName 屬性。此外,伺服器的憑證具有數量與順序皆相同的 organizationName 屬性,且其中的位元對位元值也完全吻合。

指定 subjectPublicKeyInfo 雜湊的方法是串連雜湊演算法名稱、斜線以及套用到指定憑證 subjectPublicKeyInfo (採 DER 編碼) 雜湊演算法所採用的 Base64 編碼。Base64 編碼格式符合 SPKI 指紋編碼的格式。系統僅能辨識 sha256 雜湊演算法,其他雜湊演算法則會忽略。

如果未設定這項政策,凡是應依憑證透明化規定公開而未公開的憑證,Google Chrome 都會將其視為不受信任的憑證。

範例值:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

支援的作業系統: 至少需要 Microsoft Windows 7 或 Windows Server 2008 系列產品

不針對列出的 subjectPublicKeyInfo 雜湊強制執行憑證透明化政策

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

系統管理範本 (電腦)

系統管理範本 (使用者)