Microsoft trekt vertrouwen in vier certificaten in na flater D-Link

Microsoft heeft vier certificaten van zijn Certificate Trust List gehaald. Het gaat om de certificaten waar D-Link per ongeluk de privésleutels van had vrijgegeven. Door de stap accepteert Windows code die met de certificaten ondertekend is niet meer als valide D-Link-software.

Microsoft erkent dat de certificaten misbruikt konden worden voor het spoofen van content en heeft daarom het vertrouwen in de certificaten opgezegd. De betreffende certificaatautoriteiten waren er al eerder toe overgegaan om de certificaten in te trekken. Nu die niet meer op de Certificate Trust List van Microsoft staan, beschouwt Windows software die met de certificaten gesigneerd is niet meer als valide.

Microsoft heeft de stap genomen nadat een lezer van Tweakers meldde dat D-Link privésleutels van een certificaat had vrijgegeven. Nadat Tweakers Fox-IT hier van op de hoogte bracht, bleken van nog drie certificaten de sleutels op straat te liggen. Het ging om certificaten van D-Link, Alpha Networks, Keebox en Trendnet. De uiterste 'houdbaarheidsdatum' was al verlopen maar Windows bleef malware die al ondertekend is, ook na die datum als valide beschouwen, tot het intrekken van het vertrouwen.

Bij Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 10 en smartphones die Windows Phone 8 of Windows Phone 8.1 draaien, wordt de Certificate Trust List automatisch bijgewerkt. Systemen die Windows Vista, Windows 7, Windows Server 2008 of Windows Server 2008 R2 draaien doen dat alleen als ze zo ingesteld zijn dat certificaten automatisch ingetrokken kunnen worden. Voor wie dat niet heeft, is er een updater die gebruikers kunnen installeren.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 25-09-2015 16:1363

25-09-2015 • 16:13

63 Linkedin

Lees meer

D-Link introduceert bewakingscamera's met Alexa- en Assistant-ondersteuning Nieuws van 29 mei 2018
D-Link introduceert 802.11ax- en door McAfee beveiligde routers Nieuws van 9 januari 2018
D-Link introduceert nieuwe router en smarthome-apparaten Nieuws van 5 september 2016
D-Link blundert met vrijgeven privésleutels van certificaten Nieuws van 17 september 2015
Meer producten en artikelen
Netwerk en systeembeheer D-Link Microsoft

Reacties (63)

-Moderatie-faq
63
61
53
4
1
0
Wijzig sortering
bartvbl
25 september 2015 23:40
Ik heb de laatste dagen een beetje mijn gesigneerde executable in de gaten gehouden, en merkte vandaag inderdaad dat de handtekening niet meer als "verified publisher" wordt aangemerkt. Goede reactie van Microsoft!

.. Mag ik wel even kwijt dat ik dit in een follow-up mail stuurde naar de redactie na de eerste reactie: "Er zijn certificaten voor 4 verschillende leveranciers, al was het D-link certificaat nog de enigste die actief was toen ik hem vond."

Fox-IT heeft deze niet als eerste gevonden zoals het artikel claimt.

[Reactie gewijzigd door bartvbl op 25 september 2015 23:55]

Oyxl
@bartvbl28 september 2015 10:37
Ik weet het, mierenneuken, maar 'enigste' moet zijn; enige. Altijd zo zonde, intelligente mensen die niet kunnen spellen. Beiden slaan op het bijvoeglijk naamwoord 'enig', wat enerzijds zoiets betekent als 'schattig/leuk' en ik neem aan dat je niet wil beweren dat je hier 'schattigste' hebt willen plaatsen, en anderzijds verwijst naar de vaststelling dat er hier slechts één van is (enig benul/(g)een enkel benul). Die laatste vervoegt naar 'enige' en dat is het woord dat je zoekt.

Los van de miljoenmiljard minnetjes die ik hier voor ga krijgen, terecht, vind ik het oprecht bezwaarlijk dat je erg knullig over komt in de communicatie als je altijd maar spreekt van 'enigste'. Ik komt het helaas zelf ook vaak tegen bij ervaren Project Managers en je ondermijnt er je eigen voorkomen mee. Dus geef dat minnetje, maar wees ook volwassen genoeg om jezelf te willen blijven verbeteren!

edit; Ernstige spelfout verbeterd.

[Reactie gewijzigd door Oyxl op 28 september 2015 12:50]

paradoXical
@Oyxl28 september 2015 10:54
Ik moet altijd denken aan de verkoper van een duur medisch apparaat, die geheel gestoken in een maatpak zijn apparaat kwam verkopen op de Universteit. Dat deze beste man vervolgens geen enkel verstand bleek te hebben van de materie of het apparaat zelf. Mijn punt: voorkomen is niet alles, persoonlijk struikel ik niet over zo'n foutje, zolang iemand maar kennis van zaken heeft.
Oyxl
@paradoXical28 september 2015 10:56
Ik ben voorstander van beiden. Ze sluiten elkaar namelijk niet uit. Maar ik ben natuurlijk wel heel erg perfect.


Voor de slechtlezenden, dat was een stukje ironie.
Berrick
@Oyxl28 september 2015 12:37
Ik ben bang dat je sarcasme bedoelt :P

Verder ben ik het met je eens. Een goede presentatie versterkt namelijk een inhoudelijk sterke boodschap en een slechte presentatie zwakt deze af.
paradoXical
@Berrick28 september 2015 13:15
De gepresenteerde feiten blijven ook met die spelfout overeind. Dit is geen sollicitatie of anderzijds belangrijke presentatie, maar eerder een snelle post tijdens (vermoedelijk) werktijd. Dat moet zo'n foutje gewoon kunnen, zo vind ik tenminste ;)

Edit: vreselijke fout ;)

[Reactie gewijzigd door paradoXical op 28 september 2015 13:39]

Berrick
@paradoXical28 september 2015 13:22
Moet zeker kunnen en ik denk ook niet dat iemand er kwaad van wordt of wakker van ligt. Persoonlijk vind ik het altijd wel jammer als ik een inhoudelijk sterk verhaal tegen kom waar spel- of taalfouten in zitten. Maar, wederom persoonlijk, zeg ik er normaal gesproken niets van omdat ik zo'n reactie over taalgebruik in een inhoudelijke discussie nog meer storend vind. :X
Oyxl
@Berrick28 september 2015 13:41
Oh ja, in een gesprek gooi ik het er ook niet tussen. Is een beetje overbodig en erg pijnlijk. Misschien een keer als je elkaar toevallig spreekt bij de koffieautomaat.

Nee, eigenlijk ben je dan ook een lul. Is lastig.

[Reactie gewijzigd door Oyxl op 28 september 2015 13:44]

Oyxl
@paradoXical28 september 2015 13:34
Het doet niets af aan dit bericht, maar denk even met me mee. Ik ben nu de puriteinse lul die persé wil dat iemand iets goed schrijft, right? Nou nee. Ik wil iemand een stukje bewustzijn meegeven, waar hij de rest van zijn leven profijt van heeft, omdat hij de rest van zijn leven, elke keer dat 'enige/ste' in een zin gebruikt wordt, de correcte vorm gebruikt.

Een dt'tje blijft verborgen in spreektaal. Een 'enigste' is hoorbaar, knullig, en te voorkomen. Gewoon, omdat ik nu de moeite neem iemand er van bewust te maken.

Het is een beetje hetzelfde als iemand die een blaadje in z'n haar heeft, of een stukje eten in z'n baard. Kun je de hele dag mee rondlopen en er dan achter komen dat je 8 uur voor lul hebt gelopen, of je spreekt zo iemand even aan en wijst even knipogend op z'n haar/baard. Is op dat moment even pijnlijk. De rest van de dag loopt de beste man niet voor lul.
paradoXical
@Oyxl28 september 2015 13:40
Amen!
Oyxl
@paradoXical28 september 2015 13:42
Sportief! (Y)
Oyxl
@Berrick28 september 2015 12:44
Toch niet helemaal ;)

Ironie is simpelweg een zwakkere vorm van sarcasme. Alhoewel ironie ook veel gebruikt wordt bij 'karma'tische situaties.

[Reactie gewijzigd door Oyxl op 28 september 2015 12:45]

Berrick
@Oyxl28 september 2015 13:15
Verhip, het lijkt erop dat je gelijk hebt. Ik dacht altijd dat ironie iets was dat je overkwam (zoals in het liedje Ironic van Alanis Morissette). Dat krijg je er van als je je definities baseert op popmuziek... 8)7

Edit:
Blijkbaar zijn er meerdere definities van ironie, maar had Alanis het niet helemaal door.

[Reactie gewijzigd door Berrick op 28 september 2015 13:16]

Oyxl
@Berrick28 september 2015 13:25
Hah! Dat is leuk om te lezen, dank daarvoor!

Toch snap ik je eerste reactie wel hoor, ik gebruik ironie ook op die manier en ik denk dat het begrip op die manier ook goed is ingeburgerd. Toch is sarcasme te sterk voor wat zelfspot, dus blijft ironie over.
dmjdebruin
@Oyxl28 september 2015 12:33
Sjah als je dan zelf tenminste geen spelfouten maakt dan was het nog enigszins begrijpelijk dat je mensen wilt corrigeren. Nu kom je over als een betweterige jongen van 15 jaren oud die één trucje heeft geleerd en dat graag aan alle mensen wilt laten zien.

Voorbeeld:
Ik komt het helaas zelf ook vaak tegen bij ervaren Project Managers...
Oyxl
@dmjdebruin28 september 2015 12:50
Joh, alsof jij nooit een typo maaktt.

Ik schrijf PM altijd zo, is een beetje Duits, maar zie ik niet als een probleem. Is taaltechnisch niets mis mee, het betekent nog precies hetzelfde.

Enige en enigste, echter, verschillen nacht en dag dag en nacht, is de uitspraak, natuurlijk.

Beetje jammer, dat er weer even écht gezocht, en uiteraard gevonden, moet worden naar ongelooflijke ernstige spelfouten bij de melder. Zal ik dat, in de haast, geplaatste 't'tje dan maar weg halen voor je?

Alsmede:
u kom je over als een betweterige jongen van 15 jaren oud die één trucje heeft geleerd en dat graag aan alle mensen wilt laten zien.
Mooi zeg, de verbeteraar die de verbeterverbeteraar verbetert die de...ja..

[Reactie gewijzigd door Oyxl op 28 september 2015 13:00]

bartvbl
@Oyxl28 september 2015 13:23
Ik woon inmiddels al bijna 10 jaar in het buitenland. Excuseert U mij als ik niet meer elke dag geschreven of gesproken nederlands gebruik en daarom fouten maak. Jammer dat je op zo iets moet focussen in plaats van een relevante bijdrage te leveren.
Oyxl
@bartvbl28 september 2015 13:25
Zoals ik al stelde, moet je het even andersom zien.
WeaZuL
25 september 2015 16:37
Nadat Tweakers Fox-IT hier van op de hoogte bracht
Waarom is Fox-IT bij dit verhaal betrokken eigenlijk :? Hebben we daar niet andere instanties voor?

Ah, na wat doorklikken geeft de desbetreffende tweaker in commentaar aan:
Heb natuurlijk meteen D-Link ingelicht en de autoriteit die het certificaat had uitgegeven, maar nooit meer wat gehoord.
bartvbl
@WeaZuL25 september 2015 23:41
Ik heb in eerste instantie een tip gestuurd naar de redactie, die vervolgens Fox vroegen of ze de authenticiteit konden verifiëren.
Gizmo_mokum
25 september 2015 18:23
Beetje off-topic, maar kan iemand mij uitleggen waarom crl. Microsoft.com via http (en niet via het te beveiligen https) benaderd wordt ?
alt-92
@Gizmo_mokum25 september 2015 19:57
Een CRL is ook signed. En er is geen één voorgeschreven manier van publiceren, zie de RFC hoofdstuk 5
http://www.ietf.org/rfc/rfc3280.txt
If the distributionPoint field is present and contains a URI, the
following semantics MUST be assumed: the object is a pointer to the
most current CRL issued by this CRL issuer. The URI schemes ftp,
http, mailto [RFC1738] and ldap [RFC1778] are defined for this
purpose. The URI MUST be an absolute pathname, not a relative
pathname, and MUST specify the host.
Maar stel dat je een CRL van een CA published hebt, en je trekt het onderliggende webserver certificaat in.
Dan kan je de lijst niet ophalen.
Iets met kip en ei.

[Reactie gewijzigd door alt-92 op 25 september 2015 20:05]

Anoniem: 491
@alt-9226 september 2015 20:34
Scherp & 2the. alt-92 ;)
Armin
@Gizmo_mokum25 september 2015 20:52
Goede vraag. Er zijn twee argumenten:

1) In zijn algemeenheid moet je updates beschermen op content-niveau en niet transport-niveau. Immers HTTPS kan gebroken worden. Denk aan een malware scanner die automatisch TLS/SSL decodeert. Of een overheid die een eigen valide SSL certifciaat gebruikt om de update te manipuleren. Je wilt dus dat de update zelf ondertekend is, en niet het transport.

Uiteraard kan en-en beter zijn, maar ...

2) Caching. CLR lijsten worden vaak gecached. Dit geeft een beter uptime, maar ook effectiviteit omdat een browser vaak maar X tijd wacht en anders alsnog de pagina laadt zonder controle te doen.
alt-92
@Armin25 september 2015 22:48
2) Caching. CLR lijsten worden vaak gecached. Dit geeft een beter uptime, maar ook effectiviteit omdat een browser vaak maar X tijd wacht en anders alsnog de pagina laadt zonder controle te doen.
Dan heb je een kut ingestelde browser als je geen strict(er) revocation check hebt.
strict revocation check staat standaard uit om 'snel' te lijken - fail fast.
Zodra je dat aan zet is Chrome gelijk een stuk trager. Maar daar scoor je niet mee, dus doe je dat alleen voor je eigen sites. He, Google?
Soldaatje
@Gizmo_mokum25 september 2015 18:26
Het OS zal wel een soort verificatie uitvoeren dat de lijst echt is?
CAPSLOCK2000
25 september 2015 16:28
Goed zo! Het is jammer dat het zo moet maar dit is echt de beste oplossing. Het zal wel een beetje pijn doen bij D-Link maar dat is hun eigen schuld, hadden ze maar beter op moeten letten. Eigenlijk komen ze er nog heel genadig van af, zo duur zijn die certificaten niet.
Croga
@CAPSLOCK200025 september 2015 16:31
De certificaten waren al verlopen. Waarom ze überhaupt dan nog geaccepteerd werden is een groot raadsel. Verlopen certificaten horen by default geweigerd te worden.
borft
@Croga25 september 2015 16:43
Verlopen is relatief, wat nou als bijvoorbeeld je klok verkeerd staat? Door ze te verwijderen ben je gewoon net een stapje veiliger. Goeie actie dus!
Aikon
@borft25 september 2015 19:18
Verlopen is niet relatief, hoe kom je daar nou weer bij? Of betaal jij ook nog met de gulden omdat je een oude kalender hebt bewaard?
borft
@Aikon25 september 2015 21:09
Hoe denk je dat je browser controleert of een certificaat verlopen is? Daarvoor gebruikt ie zijn klok, dus als die verkeerd loopt, dan is ie niet verlopen. Dus het is wel relatief, namelijk aan de tijd zoals de computer hem waarneemt.
TD-er
@borft26 september 2015 11:26
Certificaten voor code signing worden ook nog ondertekend door een timestamp server.
Zo kun je zien dat het ondertekend was toen het certificaat nog geldig was.
Daar heb je geen eigen klok voor nodig.

Wat wel helpt is dat je kunt controleren of je eigen klok verder is dan toen het certificaat gebruikt was.
keesdewit
@TD-er26 september 2015 13:57
Het certificaat wordt niet ondertekend door een timestamp server. Het antwoord van de timestamp server wordt (per ondertekening) ingesloten zodat achteraf aantoonbaar is dat het certificaat op het moment van ondertekenen nog geldig was.
glaasjejus
@borft25 september 2015 21:46
Dat heeft hier weinig mee te maken. Codesigning certificaten kunnen niet voor "signing" gebruikt worden als ze zijn verlopen, maar programma's die er al mee "gesignt" waren kun je gewoon blijven gebruiken. (Is ook wel wenselijk normaal gesproken.)

Dat laatste heeft Microsoft nu dus ook geblokkeerd. Dit omdat de certificaten waarschijnlijk al gelekt zijn voordat ze verlopen waren.
CAPSLOCK2000
@Croga25 september 2015 16:41
Er is een mechanisme voor drivers en dergelijken zodat je ook nog de drivers van 10 jaar geleden kan installeren als je dat wil.
Er wordt bijgehouden dat een key op een bepaald moment wel geldig was en dingen die er toen mee zijn ondertekend blijven geldig. De details weet ik helaas niet maar het is vast wel op wikipedia te vinden.
Blokker_1999
@Croga25 september 2015 16:47
Een stuk software dat digitaal ondertekend word krijgt meestal bij de ondertekening ook een timestamp mee (daar kan je zelf voor kiezen bij het ondertekenen). Deze timestamp word door een externe partij aangeleverd over het internet zodat iedereen zeker kan zijn dat de timestamp te vertrouwen is.

Door het geven van deze timestamp kan het OS na gaan of het certificaat op moment van ondertekening geldig was en voorkomt men dat men na het vervallen van een certificaat alle software en drivers moet gaan updaten gewoon omdat met het certificaat vervallen is. Of nog erger: als de persoon/firma achter de software of drivers failliet is of geen ondersteuning meer bied kan men dankzij die timestamp alsnog zonder problemen gebruik blijven maken van die software.

Zolang een certificaat dan niet op een blacklist komt te staan word software die ermee ondertekend is dus vertrouwd, ook al is het certificaat vervallen.
keesdewit
@Croga26 september 2015 14:00
Niet als de ondertekening van de software was voorzien van een timestamp. Ook na het verlopen van de certificaten zal de ondertekende software als geldig worden gezien.
Armin
25 september 2015 23:11
Dan heb je een kut ingestelde browser als je geen strict(er) revocation check hebt.

Elke browser out-of-the-box. O-)

Bepaalde browsers, zoals Google Chrome kunnen het niet eens zomaar aanzetten. Chrome vereist bijvoorbeeld policy editor. En op mobiel is het nog erger dan desktop.
alt-92
@Armin26 september 2015 21:57
Elke browser out-of-the-box. O-)
Helaas wel ja. Wat is het punt van webbased PKI nog als je geen checks doet?
Bepaalde browsers, zoals Google Chrome kunnen het niet eens zomaar aanzetten. Chrome vereist bijvoorbeeld policy editor. En op mobiel is het nog erger dan desktop.
Briek m'n de bek nie los.
Ik heb een gevecht met wat prutsers gaande die van mening zijn dat Chrome sneller en veiliger is. Ja dank je de koekoek, de meeste security features staan standaard uit en als we ze aanzetten op dezelfde eisen als we met IE11 doen dan is Chrome (for business) zelfs nog tráger dan een fully managed IE11.

[Reactie gewijzigd door alt-92 op 26 september 2015 21:57]

Nozmordre
25 september 2015 17:04
Waar staat de instelling voor automatisch certificaat intrekken in Windows 7?
wildhagen
@Nozmordre25 september 2015 17:07
Dat is heel simpel binnen Internet Explorer in te stellen, dit artikel legt het prima uit. Via registry of gewoon via IE.
.oisyn
@wildhagen25 september 2015 17:13
Dat heeft betrekking op SSL certificaten, niet over de certs waarmee software digitaal is ondertekend. Dat laatste staat compleet los van het internet (en heeft dus ook niets te zoeken in IE :))

[Reactie gewijzigd door .oisyn op 25 september 2015 17:14]

wjn
25 september 2015 16:53
Ter info:
Zie voor systemen waarop Windows Vista, Windows 7, Windows Server 2008 of Windows Server 2008 R2 word uitgevoerd en die de automatische updater van ingetrokken certificaten gebruiken (oftewel, als ofwel KB 2677070 of KB 2813430 eerder zijn geïnstalleerd) de rest van deze sectie en Microsoft Knowledge Base-artikel2813430 voor meer informatie. Klanten hoeven geen actie te ondernemen omdat deze systemen automatisch worden beschermd.
keesdewit
26 september 2015 13:58
Juist om dit verhaal te voorkomen moeten code signing certificaten op een veilige drager (USB token, HSM) worden opgeslagen. Ik vind dat ze dat zouden moeten verplichten. Nu is dat alleen verplicht voor code signing certificaten met extended validation.

[Reactie gewijzigd door keesdewit op 26 september 2015 14:05]

Anoniem: 119593
25 september 2015 17:22
Waarom alleen soms?
wildhagen
@Enai25 september 2015 16:29
Nee, er worden geen updates zomaar gedownload. Het is niet meer dan een doodeenvoudige Certificate Revocation List die opgehaald wordt, niet meer, niet minder.

En als je dat niet wil, zet je dat heel simpel uit in je IE-instellingen. Is alleen niet zo verstandig, want je compromiteerd je beveiliging dan wel.

[Reactie gewijzigd door wildhagen op 25 september 2015 16:31]

Armin
@wildhagen25 september 2015 18:24
Het heeft niets met Internet Explorer te maken.

Het gaat om een speciale service (functionele naam CAPI2) die op de achtergrond eens per X tijd kijkt of er een update is in die lijst. Elke Windows 8 en later PC heeft die service automatisch draaien. Dit inclusief Windows Phone 8 en hoger.

Windows Vista en 7 hebben het ook automatisch draaien, tenzij je explciiet de betreffende KB-update niet geinstaleerd hebt. Dus heb je alle updates geinstalleerd, ben je dit bericht lezende dus al up-to-date.

Ben je echt paranoide kun je simpelweg in je event-log kijken en zoeken naar een entry met de titel CAPI2 met iets van de volgende informatie:

Successful auto update of disallowed certificate list with effective date: ‎Wednesday, ‎September ‎23, ‎2015 10:50:18 AM.

De CRL waar jij naar verwijst is voor TLS/SSL certificaten en één van de vier manieren waarop Windows haar TLS/SSL certificaten kan controleren. Overigens ook dit gaat buiten IE om en is een OS functie. Dus ook bijvorobeeld .Net applicaties en je Outlook email client etc zjin zo beschermd en niet enkel IE.

Om het nog complexer te maken :) de CAPI2 updater service kan ook TLS/SSL certificaten updaten. De laatste keer dat men dat deed was een jaar geleden toen bij een Indiaanse CA er een aantal certificaten misbruikt waren.
CH4OS
@wildhagen25 september 2015 16:52
Zo vaak gebeurd het niet, dat MS certificaten intrekt naar mijn weten. ;)
wildhagen
@CH4OS25 september 2015 16:58
Dat komt inderdaad niet zo heel erg vaak voor gelukkig nee. Maar uniek is het ook weer niet. Na het Nederlandse DigiNotar-fiasco is het bijvoorbeeld ook gebeurd :)
Bas_f
@wildhagen25 september 2015 19:45
In het geval van Diginotar ging het om SSL-certificaten. Hier gaat het volgens mij om developer/publisher-certificaten voor software.
Dennism
@Bas_f25 september 2015 20:24
Code signing certificaten kunnen gewoon door dezelfde instanties uitgegeven worden als certificaten voor websites e.d. die komen gewoon uitdezelfde PKI / CA infrastructuur.
.oisyn
@wildhagen25 september 2015 17:23
De CRL wordt niet gebruikt voor deze situatie. In plaats daarvan gebruiken ze een Certificate Trust List waar certificates en (root) CA's in staan, en worden gebruikt om nieuwe certificaten toe te voegen aan de certificate store van je systeem. De naam is wat verwarrend, want hoewel de suggestie wordt gewekt dat er alleen vertrouwde certificaten in staan, is er ook een store voor certificaten die je niet (meer) vertrouwd, en die kunnen op dezelfde manier worden geüpdatet.

[Reactie gewijzigd door .oisyn op 25 september 2015 17:25]

nlsp
@.oisyn25 september 2015 19:08
Dit is de eerste post die meldt waar het feitelijk om gaat:

“Microsoft heeft vier certificaten van zijn Certificate Trust List gehaald.” is dus ook onjuist. In werkelijkheid heeft Microsoft vier certificaten aan de Untrusted Certificate List toegevoegd.
didi79
@Enai25 september 2015 16:30
Ik weet niet hoe je tot die conclusie komt, maar normaal komen certificaten mee (en het intrekken ervan) met de gewone Windows updates.
Armin
@didi7925 september 2015 18:27
Dat is al een paar jaar niet meer zo.

Dat is enkel nog indien je explciet de CAPI2 updater service niet geinstalleerd hebt. Maar al minstens sinds 2012 is die functie beschikbaar voor Vista en hoger. En bovendien werd die aangeboden via Windows Update dus de meeste gebruikers zullen het dus via deze auto-update doen.
sjongenelen
@Enai25 september 2015 16:32
Haha, zelfs zeuren over security updates. Certificate Revocation is een hele normale zaak, en gebeurd automatisch bij gebruik van een certificate.
Daarnaast wordt een lijst van Certificate Authorities up to date gehouden met Windows Update.
Blokker_1999
@Enai25 september 2015 16:50
Dus jij vind het slecht dat een lijst waarin staat welke certificaten wel/niet te vertrouwen zijn automatisch word bijgewerkt? Wat wil je dan, dat men dit handmatig moet doen? Hoeveel gebruikers gaan het dan nog uitvoeren? Er zijn zovele mensen die hun Windows niet updaten omdat ze denken dat hun illegale installatie dan niet meer werkt. Wil je hen daar bovenop nog een mechanisme ontnemen dat net zeer belangrijk is voor de werking van SSL. Vergeet niet dat als men deze lijst niet bijwerkt, er ook vele nieuw uitgegeven certificaten op een gegeven moment niet meer vertrouwd gaan worden.

Altijd maar klagen dat Windows zo onveilig is, maar elke actie die men onderneemt om het veiliger te maken word ook altijd weer door een groep mensen de grond in geboord ...
i-chat
@Blokker_199925 september 2015 17:42
hij wil natuurlijk het recht en de mogelijkheid om zijn computer al dan niet bewust met mallware uit te rusten omdat hij zelf het beste weet wat goed voor hem is...

gelukkig werkt de echt wereld niet helemaal zo want ik krijg 'as it is' al genoeg spam en mallware aanvallen van idioten die hun software niet bijwerken...
Armin
@i-chat25 september 2015 18:30
En als je het zelf wilt beheren, zijn er genoeg middelen:

1) de update doet geen stealth update, maar maakt netjes een melding in je event log. Je kunt zelfs een trigger opzetten die je automatisch notificeert.
2) eventueel 'overrides' die jij maakt in de certificaat manager gaan boven de automatische updates.

Realiteit is dat de meeste gebruikers geen enkele behoefte hebben dit te beheren, en het voor die mensen een stukje veiligheid is. Je hoeft niets te doen, en automatisch worden deze 4 certificaten nu geblokeerd door Windows en Windows Phone. Wel zo'n veilig gevoel ...

UPDATE: i-chat krijgt -1 en ik 0. Er zijn weer mensen die oneens verwarren met ongewenst/offtopic? O-)

[Reactie gewijzigd door Armin op 25 september 2015 20:48]

Anoniem: 80487
@Enai25 september 2015 17:12
Ja, en dat is cruciaal voor de werking van het concept van SSL en certificaten dus ik snap je vraag niet?

[Reactie gewijzigd door Anoniem: 80487 op 25 september 2015 17:12]

CH4OS
@Enai25 september 2015 17:14
Verdiep je even in SSL (en zoek eventueel op DigiNotar) en je snapt waarom dit soort lijsten altijd bijgewerkt worden.

Kort en bondig: het houdt de certificate chain namelijk sterk(er), want op de manier hoe SSL werkt, geldt ook daar, dat de ketting (chain) aan certificaten zo sterk is als de zwakste (het zwakste certificaat). Wil je dus een goed en betrouwbaar certificaat hebben (en daar zijn veel mensen, diensten en bedrijven bij gebaat), dan moet je ook certificaten soms uitsluiten.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee