Si se establece la política, se desactivará la implementación obligatoria de los requisitos de comunicación de la transparencia en los certificados para una lista de hashes subjectPublicKeyInfo. Los hosts empresariales podrán seguir usando certificados que, de lo contrario, no serían de confianza (por no haberse comunicado públicamente de forma correcta). Para desactivar la implementación obligatoria, el hash debe cumplir una de estas condiciones:
* Ser del subjectPublicKeyInfo del certificado del servidor.
* Ser de un subjectPublicKeyInfo que aparezca en el certificado de una autoridad de certificación (CA) de la cadena de certificados. Ese certificado AC debe estar restringido por la extensión X.509v3 nameConstraints; tienen que aparecer uno o más directoryName nameConstraints en los permittedSubtrees, y directoryName debe contener un atributo organizationName.
* Ser de un subjectPublicKeyInfo que aparezca en un certificado AC de la cadena de certificados; el certificado AC debe tener uno o más atributos organizationName en el Subject del certificado, y el certificado del servidor debe contener el mismo número de atributos organizationName, en el mismo orden y con los mismos valores byte por byte.
Para especificar un hash subjectPublicKeyInfo, se vinculan el nombre del algoritmo de hash, una barra y la codificación Base64 de ese algoritmo de hash aplicado al subjectPublicKeyInfo en codificación DER del certificado especificado. La codificación Base64 tiene el mismo formato que el de una huella digital SPKI. El único algoritmo de hash reconocido es sha256; los demás se ignorarán.
Si no se asigna ningún valor a esta política, los certificados que se deban comunicar a través de la transparencia en los certificados no serán de confianza para Google Chrome si no se comunican.
Valor de ejemplo:
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
Registry Hive | HKEY_CURRENT_USER |
Registry Path | Software\Policies\Google\ChromeOS\CertificateTransparencyEnforcementDisabledForCas |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |