Microsoft heeft vier certificaten van zijn Certificate Trust List gehaald. Het gaat om de certificaten waar D-Link per ongeluk de privésleutels van had vrijgegeven. Door de stap accepteert Windows code die met de certificaten ondertekend is niet meer als valide D-Link-software.
Microsoft erkent dat de certificaten misbruikt konden worden voor het spoofen van content en heeft daarom het vertrouwen in de certificaten opgezegd. De betreffende certificaatautoriteiten waren er al eerder toe overgegaan om de certificaten in te trekken. Nu die niet meer op de Certificate Trust List van Microsoft staan, beschouwt Windows software die met de certificaten gesigneerd is niet meer als valide.
Microsoft heeft de stap genomen nadat een lezer van Tweakers meldde dat D-Link privésleutels van een certificaat had vrijgegeven. Nadat Tweakers Fox-IT hier van op de hoogte bracht, bleken van nog drie certificaten de sleutels op straat te liggen. Het ging om certificaten van D-Link, Alpha Networks, Keebox en Trendnet. De uiterste 'houdbaarheidsdatum' was al verlopen maar Windows bleef malware die al ondertekend is, ook na die datum als valide beschouwen, tot het intrekken van het vertrouwen.
Bij Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 10 en smartphones die Windows Phone 8 of Windows Phone 8.1 draaien, wordt de Certificate Trust List automatisch bijgewerkt. Systemen die Windows Vista, Windows 7, Windows Server 2008 of Windows Server 2008 R2 draaien doen dat alleen als ze zo ingesteld zijn dat certificaten automatisch ingetrokken kunnen worden. Voor wie dat niet heeft, is er een updater die gebruikers kunnen installeren.