¿Chrome rechazará los certificados de las CA corporativas (o "internas")?
Esto ya se ha respondido en la oración exacta que ha citado: "... requiere transparencia de certificado para todos los certificados de confianza pública " que se hayan publicado recientemente, . Dado que las CA internas no son de confianza pública, no se requerirá la transparencia del certificado para estos.
¿Todos los certificados observados por el navegador ahora activarán una consulta al servidor CT de Google?
Transparencia del certificado en Chrome describe el proceso de verificación de la siguiente manera:
Chrome puede verificar que el registro de CT que lo emitió haya respetado un SCT, es decir, que el certificado correspondiente se haya publicado en ese registro de CT. ... Chrome hace esto enviando una consulta de DNS especialmente diseñada que solicita una prueba de inclusión del registro. El uso de DNS permite al usuario permanecer en el anonimato desde la perspectiva del registro de CT y permite el almacenamiento en caché de las pruebas de inclusión.
A mi entender, comprobará siempre si la información de CT requerida está en el certificado. Pero no creo que esto signifique que comprobará siempre que esta información sea correcta y se refleje en los registros de CT. Mi conjetura es que comprobará no siempre, pero con la frecuencia suficiente para que se detecten los certificados con información falsa de CT.