Windows には、ルート証明書の上限を廃止するための多くのオプションがあります。 これらの機能を次に示します。
削除
CTL からルートを削除すること。 ルートにチェーンされているすべての証明書は信頼されなくなりました。 ユーザーは、ローカル コンピューターの "信頼されたルート証明機関"/レジストリ物理ストアにルートを手動でインストールできます。 ただし、ローカル コンピューターの "信頼されたルート証明機関"/サード パーティの物理ストアにインストールされている場合、自動ルート更新サービスによって自動的に削除されます。
EKU の削除
ルート証明書からの特定の EKU の削除。 このルートにチェーンされているすべての End エンティティ証明書は、デジタル署名がタイムスタンプ付けされたかどうかに関係なく、削除された EKU を利用できなくなります。
禁止
この機能では、証明書を許可しない CTL に追加する必要があり、自己署名証明書、エンタープライズ証明書、信頼されたルート証明書、危険度の高いリーフ証明書など、さまざまな種類の証明書を取り消すために使用できます。 この機能は、証明書を効果的に取り消します。 ユーザーは手動でルートをインストールできず、信頼を持ち続けることはできません。
無効にする
無効なルートにチェーンされているすべての証明書は、非常に重要な例外で信頼されなくなります。無効日より前のタイムスタンプを持つデジタル署名は、引き続き正常に検証されます。
NotBefore
ルート証明書の詳細な無効化またはルート証明書の特定の EKU 機能を許可します。 NotBefore の日付より後に発行された証明書は信頼されなくなりますが、NotBefore 日付までの前に発行された証明書は引き続き信頼されます。 NotBefore 日付より前にタイムスタンプが設定されたデジタル署名は、引き続き正常に検証されます。