レガシ証明機関のリストに対する証明書の透明性の適用を無効にする

レガシ証明機関 (CA) のリストに対して、証明書の透明性に関する要件の適用を無効にします。

このポリシーを使用すると、指定された subjectPublicKeyInfo ハッシュのいずれかを持つ証明書が含まれた証明書チェーンに対して、証明書の透明性に関する開示要件を無効にできます。これにより、適切に公開されていないことを理由に通常であれば信頼できないものとして扱われる証明書を、企業のホストで引き続き使用できるようになります。

証明書の透明性の適用を無効にするには、レガシ証明機関 (CA) として認識されている CA 証明書に含まれる subjectPublicKeyInfo にハッシュを設定する必要があります。レガシ CA とは、Microsoft Edge でサポートされている 1 つ以上のオペレーティング システムで既に一般的に信頼されている CA です。

subjectPublicKeyInfo ハッシュを指定するには、ハッシュ アルゴリズム名、"/" 文字、およびこのハッシュ アルゴリズムの Base64 エンコード (指定された証明書の DER エンコード済み subjectPublicKeyInfo に適用されます) を連結します。この Base64 エンコードは、RFC 7469 のセクション 2.4 で規定されている SPKI フィンガープリントと同じ形式を使用します。認識できないハッシュ アルゴリズムは無視されます。現時点でサポートされているハッシュ アルゴリズムは、"sha256" のみです。

このポリシーを構成しなかった場合、証明書の透明性を介して開示する必要がある証明書はすべて、証明書の透明性ポリシーに従って開示されていない場合は、信頼できない証明書として扱われます。

サンプル値:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

サポートされるバージョン: Microsoft Edge バージョン 77、Windows 7 以降

レガシ証明機関のリストに対する証明書の透明性の適用を無効にする

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

msedge.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)