Will certificates from corporate (or "internal") CAs be rejected by Chrome?
Questo è già stato risposto nella frase esatta che hai citato: "... richiede la Trasparenza Certificato per tutti i certificati di nuova pubblicazione, pubblicamente affidabili" . . Poiché le CA interne non sono pubblicamente affidabili, per queste non è richiesta alcuna trasparenza del certificato.
Will every certificate observed by the browser now trigger a query to Google's CT server?
Certificato di trasparenza in Chrome descrive il processo di verifica come segue:
Chrome may check that an SCT has been honoured by the CT log that issued it, i.e. that the corresponding certificate is indeed published in that CT log. ... Chrome does this by sending a specially-crafted DNS query that requests an inclusion proof from the log. Using DNS allows the user to remain anonymous from the CT log's perspective and enables caching of inclusion proofs.
Da quanto ho capito controllerà sempre se le informazioni CT richieste sono nel certificato. Ma non penso che questo significhi che controllerà sempre che queste informazioni siano corrette e si riflettano nei registri CT. La mia ipotesi è che controllerà non sempre, ma abbastanza spesso in modo che vengano rilevati certificati con informazioni TC false.