Определения устаревших версий - Программа доверенных корневых сертификатов Майкрософт

В Майкрософт есть много вариантов отказа от возможностей корневого сертификата. Эти возможности перечислены здесь.

Удаление

Удаление корневого сертификата из CTL. Все сертификаты, которые связаны с корнем, больше не являются доверенными. Пользователи по-прежнему могут вручную установить корневой сертификат в физическое хранилище «Доверенные корневые центры сертификации»/реестр локального компьютера. Однако при установке на локальный компьютер «Доверенные корневые центры сертификации»/стороннее физическое хранилище будут автоматически удалены службой автоматического корневого обновления.

Удаление EKU

Удаление определенного EKU из корневого сертификата. Все сертификаты конечных объектов, которые связаны с данным корневым сертификатом, больше не могут использовать удаленные EKU, независимо от того, была ли цифровая подпись отмечена временем.

Запретить

Данная функция подразумевает добавление сертификата в список Disallow CTL и может использоваться для отзыва многих типов сертификатов, таких как самозаверяющие сертификаты, корпоративные сертификаты, доверенные корневые сертификаты или конечные сертификаты высокого риска. Данная функция эффективно аннулирует сертификат. Пользователи не могут вручную установить корень и продолжать пользоваться доверием.

Отключить

Все сертификаты, которые связаны с отключенным корнем, больше не будут доверять за очень важное исключение; цифровые подписи с отметкой времени до даты отключения продолжат успешно проверяться.

NotBefore

Позволяет детально отключить корневой сертификат или определенные возможности EKU корневого сертификата. Сертификаты, выпущенные ПОСЛЕ даты NotBefore, больше не будут считаться доверенными, однако сертификаты, выпущенные ДО даты NotBefore, по-прежнему будут считаться доверенными. Цифровые подписи с меткой времени, установленной до даты NotBefore, будут продолжать успешно проверяться.