Dit is vreemd, want bij ons verschijnt er geen error bij de twee onderstaande urls en de certifikaten zijn geldig.

-windowsupdate.microsoft.com ()redirect:

-hxxp://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=en-us-
Secure:
hxxps://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=en-us

De twee urls werken dus perfect!

Tim Luo Et Rjseeker .c.c.
ELD

is dat windows xp?? geen goede combinatie met internet explorer

Ik vind het een slechte zaak dat MSIE niet laat zien wat hier aan de hand is.

Als je Firefox gebruikt kun je in elk geval (na wat doorklikken) het certificaat bekijken voordat je de site opent. Dan kun je zien dat het certificaat uitsluitend (d.w.z. zonder aliases) is uitgegeven voor www.update.microsoft.com (en dus ongeldig is voor windowsupdate.microsoft.com).

Overigens is het zinloos om Firefox te gebruiken voor die site, want de update functionaliteit werkt alleen in MSIE, alleen voor XP (en alleen als je Admin rechten hebt).

Kortom, open voortaan https://www.update.microsoft.com/ en MSIE zal geen certificaatfoutmeldingen geven.

Krijg je toch een foutmelding, dan zit je ofwel niet op de juiste site (kan het gevolg zijn van een DNS aanval), Microsoft heeft het certificaat laten verlopen (het huidige certificaat is geldig tot 31 augustus 2013), of Microsoft heeft zelf iets in haar infrastructuur veranderd.

Als het certificaat ongeldig is, waarom staat er dan http en geen https in de adresbalk?

Je hebt scherpe ogen, "http" i.p.v. "https" had ik gemist!

Eerste test
Ik heb dit zojuist even getest. Als ik met MSIE8 vanaf een volledig gepatchte XPSP3 machine surf naar:

https://windowsupdate.microsoft.com/: dan krijg ik dezelfde certificaatmelding te zien (nou ja, Engelstalig dan) als getoond in http://www.imagebam.com/image/58c3a4237295899, alleen blijft de URL, in tegenstelling tot in dat plaatje, wel met https beginnen;

http://windowsupdate.microsoft.com/: dan krijg ik helemaal geen foutmelding te zien en wordt de ActiveX module geladen die mijn PC scant op zoek naar ontbrekende updates.

Kortom, ik weet niet hoe de TS tot de gegeven screenshot gekomen is; een certificaatfoutmelding in combinatie met een http URL heb ik nog nooit gezien en ligt ook niet voor de hand.

Het enige dat ik me kan voorstellen is dat de TS een soort "HTTPS Everywhere" plugin voor MSIE gebruikt die https probeert i.p.v. http maar daarbij "vergeet" om de URL balk te updaten.

Bestaat HTTPS Everywhere ook voor MSIE?
Hmmm, even Googlen: https everywhere internet explorer

Ah, het bestaat! http://research.zscaler.com/2012/12/https-everywhere-for-internet-explorer.html

Gedownload. Helaas geen authenticode handtekening, ook niet onder de feitelijke BHO (Browser Helper Object) HTTPSEverywhere.dll (eenvoudig uit de installer te plukken met 7-Zip). Tevens kun je uit die exe de file rules\default.rulesets halen met daarin o.a. de volgende regel:SHA1sums:De versie is ondertussen 0.0.0.3.

Iemand heeft de installer 4 dagen geleden geüpload: https://www.virustotal.com/en/file/f0dda0af4b78a72d3f190786b2e2d0ec1b633d770b891d2a872ff362e36940ba/analysis/ (geen malware gevonden).

De DLL was nog niet geüpload, zojuist gedaan: https://www.virustotal.com/en/file/c1be53ed83f3e7b15121732821695def2a2388aa5b5281ac34fcb8d393eb3eee/analysis/ (ook hier geen malware gevonden).

Geïnstalleerd. Tijdens installatie haalt de NSIS installer http://www.zscaler.com/research/plugins/ie/https-everywhere/install.php?5.1.2600SP3 op, dat leidt tot een redirect naar http://www.zscaler.com/ en die weer naar http://www.zscaler.com/index.php. Schijnbaar gebeurt hier verder niks mee. De installer geeft steeds de volgende header-regel mee: Tweede test (met HTTPS Everywhere)
Ik open http://windowsupdate.microsoft.com/ en krijg exact het resultaat dat de TS had! Dus een URL die met http begint, en toch een certificaatfoutmelding.

Conclusie
De TS heeft hoogstwaarschijnlijk HTTPS Everywhere van ZScaler geïnstalleerd, en gebruikt, net als vroeger, http://windowsupdate.microsoft.com/ om te updaten. Alleen door HTTPS Everywhere wordt dit vertaald naar https - echter zonder dat de URL balk geüpdate wordt, hetgeen tot de vreemde combinatie van http URL en certificaatfoutmelding leidt.

@TS: klopt het dat je HTTPS Everywhere gebruikt?

P.S. ook met die plugin werkt https://www.update.microsoft.com/ zonder certificaatfoutmeldingen!
Aanvulling: zie ook http://www.security.nl/artikel/44380/1/HTTPS_Everywhere_voor_Internet_Explorer_.html.

Aanvullend:

ZScaler "HTTPS Everywhere for IE" is beslist nog niet uitontwikkeld.
Versie 0.0.0.1 van december 2012 was pas een alfa-versie,
versie 0.0.0.3 van februari is op z'n best misschien als bèta te beschouwen, maar wellicht eveneens pas als alfa-versie.

Zie ook het artikel van Security.nl van zondag 10 februari
https://www.security.nl/artikel/45108/1/IE-uitbreiding_versleutelt_webverkeer.html
en de documentatie van ZScaler
https://www.zscaler.com/httpseverywhere_ie.php
http://research.zscaler.com/2013/02/https-everywhere-for-ie-faster-auto.html
-> https://www.zscaler.com/research/plugins/ie/https-everywhere/https-everywhere.pdf

Dat ZScaler HTTPS Everywhere for IE beslist nog niet is uitontwikkeld, dat blijkt dus ook uit de ervaring van zandubar en de analyse door Erik van Straten.

Het gegeven probleem (dat http://windowsupdate.microsoft.com/ automatische redirect https://windowsupdate.microsoft.com/ en niet naar https://www.update.microsoft.com/) is geen "bug" in ZScaler HTTPS Everywhere maar een tekortkoming in de (zeer uitgebreide) gebruikte ruleset die door EFF.org wordt bijgehouden, zie: https://www.eff.org/https-everywhere/rulesets.

Omdat EFF.org de HTTPS Everywhere plugin voor andere webbrowsers dan MSIE ontwikkelt, en je met andere webbrowsers dan MSIE geen Windows- of Microsoft Update kunt draaien, is het niet zo verwonderlijk dat de rules niet vaak getest worden (bij Microsoft veranderen URL's vrij vaak, bijv. een paar jaar geleden was er nog wel een geldig certificaat voor update.microsoft.com, tegenwoordig alleen nog voor www.update.microsoft.com).

In de discussielijst over deze rulesets zie je in https://mail1.eff.org/pipermail/https-everywhere-rules/2011-September/000628.html dat iemand vragen gesteld heeft over o.a. windowsupdate.microsoft.com, maar het lijkt erop dat hier niets mee gebeurd is.

In https://gitweb.torproject.org/https-everywhere.git/tree/HEAD:/src/chrome/content/rules (erg grote pagina die m'n Firefox flink traag maakt!) vind je een overzicht van alle rulesets (ik vermoed dat de uiteindelijke file "c:\Program Files\Zscaler\HTTPS Everywhere for Internet Explorer\rules\default.rulesets" ontstaat door de relevante inhoud uit die xml files achter elkaar te plakken).

In https://gitweb.torproject.org/https-everywhere.git/blob/HEAD:/src/chrome/content/rules/Microsoft.xml vind je de laatste rules voor Microsoft (en dat zijn er heel veel). Zo te zien is dit probleem in die file nog steeds niet gefixed! Als ik de huidige regels 174 en 175 wat leesbaarder uitschrijf staat er:
Als ik uit regel 174 alle niet-relevante gegevens (voor deze casus!) weggooi krijg ik de volgende zoekstring:Als ik bovenin http://www.regular-expressions.info/javascriptexample.html achter Regexp die zoekstring invul, en achter Replacement text invul:dan kan ik experimenteren met de Subject string en kijken of er een match is. En als er een match is, op de Replace knop drukken.

Als ik achter Subject string invul: dan is er een match. Als ik op de Replace knop druk, verschijnt: https://windowsupdate.microsoft.com/

Je kunt zo overigens ook zien dat http://v4.windowsupdate.microsoft.com/ tot https://v4.windowsupdate.microsoft.com/ leidt.

Helaas durf ik geen oplossing te geven door een andere rewrite rule voor te stellen. Ik vermoed dat het hele gedoe hier samenhangt met Windows Update versus Microsoft Update (bij die eerste worden alleen Windows componenten geüpdate, bij de tweede alle Microsoft producten). Persoonlijk vind ik het schandalig dat eindgebruikers moeite moeten doen om voor Microsoft Update te kiezen (ik ben al een tijdje van plan daar een artikeltje aan te wijden, maar ben daar nog niet aan toegekomen - ik wil het met voldoende feiten kunnen onderbouwen).

Hoe dan ook, v4.windowsupdate.microsoft.com is vermoedelijk de "Windows Update" server, en v5.windowsupdate.microsoft.com de Microsoft Update server (antwoorden wat ingekort, allen non-authoritative):N.b. die IP-adressen rouleren (variëren) voortdurend, als ik ze later opnieuw opvraag zijn ze anders (maar zo te zien wel steeds in dezelfde ranges).

Nu zou ik best een rule kunnen maken die http://*.windowsupdate.microsoft.com/ omzet in https://www.update.microsoft.com/, maar ik heb geen idee of het update proces dan nog goed werkt bij eindgebruikers (ik vermoed van wel maar ga de gok niet aan).

Conclusie: het is geen bug in ZScaler HTTPS Everywhere voor MSIE, maar zit hem in de complexiteit van de door Microsoft gebruikte hostnames voor updaten en het feit dat de beschikbare rules daar niet helemaal mee in de pas lopen.

Mijn adviezen blijven staan:
- Schakel, voor elke Windows versie van XP t/m 8, ALTIJD METEEN over van Windows Update naar Microsoft Update;
- Als je onder XP handmatig wilt updaten open je, als Admin met MSIE, https://www.update.microsoft.com/.

Ter vergelijking, relevante Windows/Microsoft Update rules in https://gitweb.torproject.org/https-everywhere.git/blob/HEAD:/src/chrome/content/rules/Microsoft.xml:En de bij ZScaler HTTPS Everywhere v0.0.0.3 meegeleverde relevante Windows/Microsoft Update rules:

Dankjewel voor de correctie op wat ik stelde en voor je uitvoerige analyse, Erik.

Je hebt helemaal gelijk dat het absurd is dat "Microsoft Update" (tevens voor Microsoft software anders dan wat onder Windows wordt meegeleverd) niet standaard is ingeschakeld.
Ik kan me alleen bezwaren voorstellen van gebruikers die bijvoorbeeld hun video-driver niet geupdate willen hebben met de Microsoft-versie daarvan, maar zoiets is prima te voorkomen door zo'n update af te slaan (of Microsoft voor te zijn en zelf de video-driver te updaten).
Ik begrijp daarom niet waarom in plaats van het standaard "Windows Update" niet "Microsoft Update" standaard is ingeschakeld.

Graag gedaan! Was trouwens een heel leerzaam, ik gebruikte al een tijd HTTPS Everywhere voor Firefox maar had nooit de moeite genomen om onder de motorkap te kijken. Ook ben ik geen echte held met regular expressions, die http://www.regular-expressions.info/javascriptexample.html laat handig zien hoe regexp's in Javascript werken. Boeiende materie!

Als ik me niet vergis zijn dat altijd optionele updates, normaal gesproken komen die niet automatisch mee (maar dat zal wel van de instellingen afhangen). Ik moet binnenkort maar eens goed naar kijken hoe dit zit onder W7/8 en W2k8, daar moet ik nodig meer ervaring mee gaan opdoen.

Ik heb ooit bij een klant meegemaakt dat een beheerder een driver van, als ik me goed herinner, een Brocade HBA via de Microsoft site had geüpdate waarna er vanalles foutging. Dat soort drivers kun je het beste bij de fabrikant downloaden (en bij kritisch spul natuurlijk eerst even Googlen naar negatieve gebruikerervaringen). En - nieuw is niet altijd beter!

Inderdaad.
Maar zelf heb ik nauwelijks driver-updates aangeboden gekregen via Microsoft Update.
Ik heb de indruk dat vrij terughoudend drivers aangeboden worden, pas bij relevante updates.
Één keer heb ik een netwerk-adapter/ ethernet-controller driver aangeboden gekregen, die ik maar geaccepteerd heb omdat de fabrikant al reeds lang gefuseerd of overgenomen was en drivers nog slechts via zeer twijfelachtige kanalen werden aangeboden.
En eerder kreeg ik misschien eens per jaar een video driver-update aangeboden, maar sinds ik die zelf frequenter bijwerk nooit meer. Dat bevestigt me in mijn idee dat Microsoft drivers vrij terughoudend aanbiedt.
Het voorbeeld dat je geeft met die Brocade HBA driver-update die fout liep, dat laat echter zien dat je wanneer je die optie hebt, je wellicht zekerheidshalve maar beter voor de originele driver van de fabrikant kunt kiezen.
Microsoft Update is met name belangrijk voor Microsoft software zoals Microsoft Office en ander Microsoft spul.
Zo'n voorbeeld als wat ik gaf met mijn ethernet-controller driver, een nette driver aangeboden via Microsoft Update voor een niet-Microsoft item dat niet meer ondersteund wordt door de fabrikant, dat lijkt me vrij uitzonderlijk.

Waarom in gods naam gebruik je nog steeds Internet Explorer?

Omdat je onder XP alleen met MSIE optionele updates kunt kiezen en de updategeschiedenis kunt bekijken

Puur onzin. Gebruik maar IE ik hoop dat je pc lekker vol loopt met viruses en rommel dankzij alle reclames die hij lekker mee laad.

Have fun kid.

hx0r3z heeft gelijk. Lees dit eens goed door
https://www.security.nl/artikel/44547/1/Roep_om_Internet_Explorer_te_dumpen_groeit.html

Internet Explorer is een doel voor hackers omdat het allemaal in bedrijven gebruikt wordt en standaard in windows zit.
Daarom werken ook exploits zoals Blackhole gewoon in IE. Omdat ze specifiek zijn gemaakt om te werken in IE. Beter om Chrome of FireFox te gebruiken met sowieso Adblocker en NoScript of Ghostery.

Uiteraard kun je onder IE9 en IE10 ook een adblocker invoegen die dat voorkomt.
Doel je op IE8 onder XP, daarvoor geldt dat niet, voor zover ik me herinner, althans niet via de mogelijkheid die IE9 en IE10 daartoe bieden, maar onder XP biedt IE ook geen "Beveiligde modus" sandboxing, waardoor IE voor XP hoe dan ook niet de meest wijze keuze is.

@hx0r3z en @SecurityBlasterx: ik ben de Anoniem van 11:14. Ik gebruik normaal gesproken Firefox , maar om handmatig Microsoft Update te kunnen checken onder XP moet ik MSIE gebruiken (en inloggen met een admin account). Daarnaast gebruik ik min of meer permanent MSIE, want de Windows shell (bureaublad), Explorer.exe, is veel meer dan een verre achterneef van IExplore.exe.

Hoewel ik iedereen aanraad om niet met MSIE te surfen, kun je die browser, welliswaar met enige moeite, redelijk dichttimmeren (dat gaat al vanaf MSIE7) door zoveel mogelijk addons te disablen en/of door het aantal websites waarvoor de plugin mag worden uitgevoerd, tot de strikt noodzakelijke te beperken.

Blackhole is, vermoed ik, vooral "succesvol" door Java, Flash en PDF exploits (en ik heb mijn MSIE zo geconfigureerd dat voor elk daarvan minstens interactie nodig om genoemde plugins te activeren). Maar nogmaals, naast voor Microsoft Update, gebruik ik MSIE nauwelijks.

Er is op dit moment minstens één bekende unpatched vulnerability in MSIE, maar voor Firefox en andere webbrowsers verschijnen ook om de haverklap security updates (niet voor de lol).

Webbrowsers worden zo complex dat kwetsbaarheden onvermijdelijk lijken. Reken je niet rijk met een andere webbrowser, patchen moet je sowieso - ook de plugins. En veel mensen doen dat nou eenmaal niet.

Aanvulling: zie ook de PDF die je vanaf deze pagina kunt downloaden: http://www.sophos.com/en-us/why-sophos/our-people/technical-papers/inside-a-black-hole-part-2.aspx. Als je Windows niet patcht en denkt veilig te zijn door met Chrome te surfen ipv MSIE, dan kun je vandaag de dag kennelijk nog slachtoffer worden van "XMLHTTP+ADODBSTREAM downloader (MS06-014)".

Uiteraard jongens. Maar kom op je moet toch wel weten dat IE een van de meest aangevallen browsers is. Gewoon omdat het standaard in windows zit en omdat het de meeste gebruikt wordt../

Gewoon een andere browser nemen Chrome of Firefox met op zijn minst noscript.

Heap sprays!