Na Google en Mozilla heeft ook Microsoft een certificaat van de Franse overheid geblokkeerd waarmee SSL-certificaten voor Google-domeinen waren aangemaakt, alleen is er nog geen update beschikbaar om gebruikers van Windows XP en Server 2003 te beschermen.

De aangemaakte certificaten zouden volgens Microsoft voor phishing- en man-in-the-middle-aanvallen zijn te gebruiken. Dit weekend ontdekte Google de certificaten. De Franse Certificate Authority (CA) ANSSI, onderdeel van de Franse overheid, had een intermediate certificaat aan het Franse Ministerie van Financiën verstrekt waarmee het ministerie SSL-certificaten voor willekeurige domeinnamen kon aanmaken.

Via de SSL-certificaten, die voor 42 Google-domeinen waren aangemaakt, wilde het ministerie het verkeer van werknemers inspecteren. Het op deze manier gebruiken van het intermediate certificaat is in strijd met de regels van ANSSI, dat het intermediate certificaat vervolgens introk. Om gebruikers te beschermen heeft Google het intermediate certificaat ook ingetrokken. Mozilla doet dat vandaag met de release van Firefox 26 en Firefox 24 ESR.

Oplossing

Microsoft beschermt gebruikers op verschillende manieren tegen het certificaat en de SSL-certificaten die ermee zijn uitgegeven. Zo beschikken Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 en Windows Server 2012 R2, en apparaten met Windows Phone 8, over een automatische updater die automatisch op ingetrokken certificaten controleert. Gebruikers van deze besturingssystemen hoeven geen enkele actie te ondernemen.

Gebruikers van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 hoeven niets te doen als ze de automatische updater voor ingetrokken certificaten gebruiken. Bij gebruikers van deze besturingssystemen die de updater niet hebben geïnstalleerd zal het illegale intermediate certificaat en de SSL-certificaten die hiermee zijn uitgegeven nog steeds worden geaccepteerd.

Windows XP

Voor gebruikers van Windows XP en Server 2003 is er volgens Microsoft op dit moment nog geen update beschikbaar. Ook is er geen automatische updater voor ingetrokken certificaten aanwezig. Of en wanneer er een update voor de twee besturingssystemen verschijnen is onbekend. Toch is er iets dat XP-gebruikers kunnen doen. Microsofts Dustin Childs stelt dat de Enhanced Mitigation Experience Toolkit (EMET) 4.0 en nieuwer gebruikers tegen man-in-the-middle-aanvallen beschermt door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren. Gebruikers moeten deze tool wel zelf installeren.