Windows 10 download ook nieuwe root certificaten automatisch. Dus het kan zijn, dat die nu nog niet aanwezig is, maar wel automatisch gedownload wordt indien die nodig is.

Ik vrees dat je zijn vraagstelling gespiegeld interpreteerde ;)

Als je, in overeenstemming van wat Anoniem van 15:12 schrijft, https://evdemo.cnnic.cn/ onder Windows 10 opent (met MSIE of Edge) en geen certificaatfoutmelding krijgt, heeft Windows het certificaat dat jij bedoelt, nageladen.

Als je op het slotje klikt en in het pad met certificaten kijkt, staat bovenaan "China Internet Network Information Center EV Certificates Root" met serienummer hexadecimaal "48 9f 00 01" (0x489f0001). Volgens calc.exe op mijn PC is dat decimaal 1218379777.

In https://github.com/chengr28/RevokeChinaCerts/wiki/ReadMe_Online (toevallig gevonden met Google) lijken instructies te staan hoe je dit certificaat (en andere Chinese certificaten), in verschillende besturingssystemen, "onschadelijk" maakt. Ik heb dit niet getest, dus garanties tot aan de deur (geheel op eigen risico dus).

Aanvulling 16:22: Firefox op mijn W7 toont die pagina ook, maar blokkeert https://www.cnnic.net.cn/ met een certificaatfoutmelding omdat "CNNIC ROOT" in Firefox is geblokkeerd (ik weet even niet meer of ik dat zelf gedaan heb, of dat Mozilla dat zo heeft meegegeven). Firefox opent wel https://evdemo.cnnic.cn/ zonder foutmeldingen.

Het certificaat wordt inderdaad automatisch toegevoegd. Of dat wenselijk is? Ook na het verwijderen van het certificaat, wordt deze bij het openen van https://evdemo.cnnic.cn/ weer toegevoegd in Windows 10.

Ja natuurlijk is dat wenselijk (voor Microsoft), anders hadden ze het niet zo gemaakt.

Nee natuurlijk is dat niet wenselijk voor jou en voor mij. Zo kun je namelijk niet zelf bepalen welke certificaatproviders je vertrouwt en welke niet. Bovendien ben je afhankelijk van een verbinding naar een server van Microsoft, waarvan je maar moet hopen dat deze niet gehacked is op het moment dat zo'n rootcertificaat dynamisch wordt opgehaald. Onnodige risico's dus.

En, als je op een gegeven moment geen verbinding hebt met die Microsoft server, of bewust helemaal geen netwerkverbinding hebt en software wilt installeren of een e-mail wilt bekijken die gesigneerd is met een certificaat waarvan het rootcertificaat uit de bijbehorende keten niet reeds aanwezig is in Windows, heb je pech.

Plaats een kopie van het certificaat in de untrusted certificate store, bij voorkeur "fysiek" in het register (system-wide i.p.v. uitsluitend voor de current user) en je hebt er geen last meer van.

Tot de betreffende CA een nieuw certificaat uitbrengt natuurlijk, dat Microsoft jou dan weer, ongevraagd en ongewenst, door de strot douwt.

Aamvulling 22:16: via dit mechanisme kan Microsoft elke gebruiker elk gewenst (door haarzelf, maar ook door geheime diensten waar zij mee samenwerkt, al dan niet onder dwang en met geheimhoudingsplicht) rootcertificaat, exact op het moment dat dit nodig is, heimlich unterschieben zoals de Duitsers compact (in 2 woorden) weten samen te vatten. Ik ben benieuwd of Microsoft dit mechanisme zelf bedacht heeft.

En, naar ik aanneem, kan Microsoft -direct na gedane arbeid op jouw PC- dat rootcertificaat weer -spoorloos- laten verdwijnen van jouw PC.

Vandaag met Wireshark gekeken. Ik zie dat het root-certificaat plaintext via een OCSP-response over de lijn gaat.

Maar aan de andere kant. 99,999999% van de gebruikers heeft helemaal geen kaas gegeten van certificaten, laat staan root certificaten. Dus om dit aan een gebruiker over te laten, is een onnodige risico.
Microsoft heeft veel meer kennis hiervan gegeten, dan menige gebruiker.

Wil je dit aangepast hebben, dan doe je dit gewoon. Je kunt de roots allemaal downloaden en importeren. En daarna zelf even nalopen. Nadeel is wel, je moet alles zelf onderhouden, dus ingetrokken roots moet je ook zelf onderhouden. Of dit nu veel veiliger is.... Is natuurlijk de vraag. Waarvan ook de gebruikers er helemaal geen kaas van gegeten hebben.

Tja... Dat is eigenlijk met alles. Als je niet de laatste informatie hebt, loop je inderdaad achter. Zoals met alles.
Maar dan importer je alle roots toch even? Dan ben je meteen up to date.
Dit is gewoon een eigenschap van certificaten en applicaties die certificaten gebruiken.

Of je zet get gewoon uit, dat roots niet automatisch gedownload worden?

Hier ga ik maar even helemaal niets. Dit zegt al genoeg.

Je hebt gelijk dat het een risico is om certificaatbeheer aan onkundigen over te laten. Maar op dit punt doet Microsoft helemaal niets om gebruikers te beschermen; zelfs ordinary users, en dus ook door hen (onbedoeld) gestarte malware, kunnen rootcertificaten toevoegen (die, dat nog net wel, niet system-wide geldig zijn maar alleen werken binnen dat account). Daarnaast hebben we de ellende gezien met Lenovo, Dell en crapware SSL/TLS inspectie rootcertificaten toegevoegd door virusscanners [1].

Microsoft doet HELEMAAL NIETS om gebruikers op dit punt te beschermen en maakt certmgr.msc gewoon toegankelijk voor iedereen - waarmee gebruikers de indruk hebben dat zij zelf certificaten kunnen beheren, terwijl Microsoft op elk moment certificaten (vooral root-) aan die certificate store kan toevoegen. Het is gewoon jouw systeem niet meer.

Fijn dat we het er over eens zijn dat er gebruikers bestaan die wel verstand van zaken hebben. Los van gebruikers met heel andere belangen dan Microsoft (zakelijk, politiek, ...) die niet weten dat ze dit zouden moeten weten en, net als Yobi en ik, verontwaardigd zijn zodra ze weten hoe dit werkt (gewijzigd is met de introductie van Vista).

Als jij een webpage bij Microsoft kent met een goede toelichting wat de reden is dat rootcerts sinds Vista dynamisch worden nageladen, zie ik graag een link daarvan.

Nee dat is geen vraag, het is onveiliger. En daarom zuigt deze aanpak sind Vista.

Zoals je zelf onderkent is intrekken van (root-) certicaten iets heel anders dan het installeren ervan, alleen al qua haast waarmee dat moet gebeuren. In de XP tijd waren dit duidelijk gescheiden processen (alhoewel het systeem toen niet goed was voorbereid voor het intrekken van rootcertificaten, en er codewijzigingen nodig waren voor Diginotar). Microsoft kondigde KB931125 steeds netjes aan (zie verderop).

Ik vind het absurd dat jij, notabene op een security site, in elk antwoord dat je geeft (in elk geval hierboven), alle gebruikers over één kam blijft scheren.

Ikzelf ben betrokken bij de ondersteuning van systemen van professionele gebruikers die hele andere eisen stellen dan de doorsnee thuisgebruiker, en ik zie hier ook mensen bijdragen leveren die in de medische hoek werkzaam zijn. Microsoft hield t/m XP heel goed rekening met wensen van gebruikers van missie-kritische systemen, daarna is dat in rap tempo afgebouwd - tot ongeveer het nulpunt bij de eerste release van Windows 10.

Je moet voor de grap eens Googlen naar KB931125 "windows 7" om te zien hoeveel beheerders niet snapten waarom ze op de door hum ondersteunde zakelijke W7 systemen, de bij XP vertrouwde regelmatige update KB931125, niet meer aangeboden kregen.

Overigens kun je, sinds W8.1, naar verluidt [2], revocation informatie wel automatisch blijven ophalen terwijl rootcert updates toch handmatig kunnen worden geïnstalleerd. Zodra ik daar tijd voor heb zal ik eens uitzoeken of dit, ongedocumenteerd, ook werkt onder W7. Dank dat je mij op dit spoor gezet hebt!

Rootcertificaten importeer je niet "even". Rootcertificaten zijn de Achilleshiel van het publieke PKI systeem doordat zij self-signed zijn, en je dus echt van nep niet eenvoudig kunt onderscheiden. Er hoeft maar 1 rotte appel tussen te zitten om aanvallers de gelegenheid te geven jouw systeem, met SYSTEM privileges, over te nemen.

Zoals ik al schreef, ik ben betrokken bij de ondersteuning van missie-kritieke systemen waarvan de gebruikers tegenstrijdige belangen dan van Microsoft en/of geheime diensten, van welk land en met welk doel dan ook, kunnen hebben. Daarbij vormen dit soort stille en onverwachte uitbreidingen van functionaliteit een onacceptabel risico waar niets tegenover staat. Een (root-) certificaat dat onverwacht wordt ingetrokken vormt ook een risico voor de beschikbaarheid van systemen, maar daar staat wel het risico van het blijven gebruiken van een gecompromitteerd certificaat tegenover, en is dus een afweging die je hoort te maken.

[1] https://www.security.nl/posting/456126
[2] https://technet.microsoft.com/en-us/library/dn265983(v=ws.11).aspx