Nieuws
image

SSL-certificaat Windows Update scoort onvoldoende

maandag 18 juni 2012, 09:36 door Redactie, 7 reacties

Het SSL-certificaat dat Microsoft voor Windows Update gebruikt scoort volgens het Qualys SSL Labs een zware onvoldoende. SSL-certificaten worden gebruikt voor het identificeren van de website en het versleutelen van de verbinding tussen website en gebruiker. Het SSL Lab kijkt naar verschillende eigenschappen van een SSL-certificaat om een score te bepalen.

Het gaat dan om ondersteunde protocollen, cipher suites en of de gebruikte implementatie voor bestaande aanvallen kwetsbaar is. In het geval van Microsoft is de vertrouwensketen incompleet, wordt het certificaat niet vertrouwd, is de SSL2.0 implementatie onveilig en is er geen 'session resumption'. Daardoor scoort het SSL-certificaat voor www.update.microsoft.com een F, oftewel een nul.

Reacties (7)
18-06-2012, 09:43 door Anoniem
Ik vraag me af of ze niet stiekem het 'FLAME' windows update cert hebben gechecked. Zelfs voor microsoft is dit heel slecht.
18-06-2012, 09:54 door 0101
Het feitelijke probleem waarom het certificaat niet "trusted" is, is volgens mij het feit dat het certificeringspad onvolledig is (http://awesomescreenshot.com/0f68afv0c).

Vandaar ook, dat Firefox meldt dat het uitgeverscertificaat onbekend is (http://awesomescreenshot.com/0668ag0da).
18-06-2012, 09:58 door RickDeckardt
Self signed... duh
18-06-2012, 09:59 door N4ppy
Het certificate is wel trusted in de context dat het gebruikt word. Binnen windows omgeving (waar update voor bedoeld is ;) is de root wel vertrouwd (in chrome ook)
18-06-2012, 10:02 door RickDeckardt
@N4ppy:
In chrome -op windows- ook, omdat chrome de windows certificate store gebruikt. Op andere platformen niet (linux/mac)
Chrome gebruikt ook de systeeminstellingen voor proxies etc.
Beide zaken handelt firefox zelf af.
18-06-2012, 10:24 door Bitwiper
Het door https://www.update.microsoft.com/ gebruikte certificaat heeft niets te maken met het feitelijke update proces.

Via https://www.update.microsoft.com/ wordt er een met Authenticode gesigneerde ActiveX module op je systeem gedownload (alleen als die actueler is dan al op je systeem staat).

Die ActiveX module scant je systeem op benodigde updates en downloadt die - hoofdzakelijk via http - vanaf Akamai servers. Die downloads zijn digitaal ondertekend met andere (code signing) certificaten.

Neemt niet weg dat het een slechte zaak is dat de betrouwbaarheid van https://www.update.microsoft.com/ waardeloos is en er geen 100% https kanaal (als dubbele beveiliging) mogelijk is voor het volledige update proces.

Trouwens, ook stom is dat je op http://support.microsoft.com/kb/2497281 terechtkomt als je, als unprivileged user op XP, eerdergenoemde https url opent. En dan bedoel ik niet dat het http is i.p.v. https, maar het feit dat er een hoop bla staat (compleet met fix-its) in plaats van bovenaan: " You cannot run Microsoft Update as an unprivileged user".
18-06-2012, 14:38 door Anoniem
Als ik surf wil ik dat alleen doen als restricted/unprivileged user, ook als ik ondersteuning zoek voor problemen. Je weet van te voren tenslotte niet of de site malware host. Als je al zover bent dat je met een account met beperkte rechten surft weet je ook wel dat je het niet kan oplossen binnen dat account. De rest van het mensdom weet van het bestaan van de verschillende soorten gebruikers accounts nauwelijks of niet wat af en doen toch alles met volledige rechten en lopen qua updates vaak hopeloos achter, laat staan dat ze op een MS support pagina gaan kijken voor een Fix-it oplossing, tenzij ik hun pc onder handen heb gehad ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search