Erzwingung der Zertifikatstransparenz für eine Liste mit subjectPublicKeyInfo-Hashes deaktivieren

Wenn diese Richtlinie konfiguriert ist, wird das Erzwingen von Certificate Transparency-Offenlegungsanforderungen für eine Liste von subjectPublicKeyInfo-Hashes deaktiviert. Unternehmenshosts können dann weiterhin Zertifikate verwenden, die andernfalls nicht vertrauenswürdig wären, weil sie nicht ordnungsgemäß öffentlich offengelegt wurden. Um die Erzwingung zu deaktivieren, muss der Hash eine der folgenden Bedingungen erfüllen:

* Der Hash gehört zu einem subjectPublicKeyInfo des Serverzertifikats.

* Der Hash gehört zu einem subjectPublicKeyInfo, das in einem CA-Zertifikat in der Zertifikatskette erscheint. Dieses CA-Zertifikat wird durch die Erweiterung "X.509v3 nameConstraints" beschränkt, es liegen ein oder mehrere directoryName nameConstraints in permittedSubtrees vor und der directoryName enthält ein organizationName-Attribut.

* Der Hash gehört zu einem subjectPublicKeyInfo, das in einem CA-Zertifikat in der Zertifikatskette erscheint, das CA-Zertifikat hat ein oder mehrere organizationName-Attribute im Zertifikat-Subject und das Zertifikat des Servers enthält dieselbe Anzahl organizationName-Attribute in derselben Reihenfolge und mit in jedem Byte identischen Werten.

Geben Sie einen subjectPublicKeyInfo-Hash an, indem Sie Folgendes verketten: den Hash-Algorithmusnamen, das Zeichen "/" sowie die Base64-Codierung dieses Hash-Algorithmus, die auf das DER-codierte subjectPublicKeyInfo des angegebenen Zertifikats angewendet wird. Die Base64-Codierung hat dasselbe Format wie ein SPKI-Fingerabdruck. Der einzige erkannte Hash-Algorithmus ist "sha256". Alle anderen werden ignoriert.

Wenn die Richtlinie nicht konfiguriert ist, werden alle Zertifikate, für die eine Certificate Transparency-Offenlegung erforderlich ist und die nicht offengelegt werden, von Google Chrome als nicht vertrauenswürdig behandelt.

Beispielwert

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Unterstützt auf: Mindestens Windows 7 oder Windows Server 2008

Erzwingung der Zertifikatstransparenz für eine Liste mit subjectPublicKeyInfo-Hashes deaktivieren

Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\ChromeOS\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chromeos.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)