Certificados Raiz Confiáveis DigiNotar no IE8

1

À luz do DigiNotar CA compromisso eu decidi conferir meus Certificados de Raiz Confiáveis do Internet Explorer em todos os meus PCs com Windows, o Windows 7 não exibia nenhum da DigiNotar, mas todos os meus PCs com XP funcionavam.

Emseguida,li este boletim da Microsoft e, em Ações sugeridas, ele disse "A Microsoft removeu o certificado raiz DigiNotar da lista de certificados confiáveis da Microsoft. "

Então, por que eles ainda aparecem na lista do IE8 no XP?

A Microsoft está falando sobre uma lista diferente?

Devo excluir os dois certificados raiz da DigiNotar?

EDITAR:

Aqui está o que aprendi até agora e o que fiz.

O Windows Vista e superiores foram corrigidos de acordo com a Microsoft. Eu verifiquei o log de eventos do aplicativo para eventos "CAPI2", não encontrei entradas para instalação ou remoção do DigiNotar, então talvez eles não estivessem lá em primeiro lugar.

O XP terá uma atualização em breve para resolver esse problema, aprendeu isso a partir de um link postado nos comentários por Linker3000

O que eu fiz para o XP, fui ao painel de controle > Opções da Internet > Separador Conteúdo > Botão de certificados > Guia Certificado Raiz Confiável. Eu exportei os certificados confiáveis DigiNotar para uma pasta e os excluí da lista de Certs Confiáveis.

Uma vez excluída, fui até a guia "Editores não confiáveis" e importei os certificados exportados anteriormente, depois fechei as janelas Certificados. Em seguida, clicou em "Clear SSL State" na guia Content, isso limpa e armazena os caches de certificados que você tem e, em seguida, fechou as Opções da Internet.

Você deve limpar os caches no Vista e no Windows 7 também, isso será feito na reinicialização, mas você pode não reiniciar por um tempo.

.

EDIT 2: Microsoft has released an update for Windows KB-2607712

All other Windows versions

    
por Moab 05.09.2011 / 21:23

2 respostas

2

Atualização 08-Sep-2011

A Microsoft já emitiu uma correção oficial que cobre o XP e o servidor 2003, então o código abaixo não é mais necessário. Veja o seguinte:

link

link

Além do meu comentário sobre o XP e o Windows 2003, a Microsoft não emitiu (em 06-Set-2011) um patch / correção automatizado para isso. Eu escrevi o arquivo de lote abaixo para automatizar a remoção dos certificados da DigiNotar no Windows XP e no Windows Server 2003 - essa é uma correção temporária e segue as observações dos dois boletins da Microsoft no meu comentário:

link

link

Por favor, leia esses boletins para informações sobre os antecedentes.

Observe que esse script precisa ser executado em todas as contas em uma máquina com Windows XP ou Server 2003 e os boletins da Microsoft contêm instruções adicionais para limpeza adicional em algumas circunstâncias. Use por sua conta e risco, etc.

O programa certutil.exe deve estar na pasta \ windows \ system32 em máquinas XP e 2003, mas eu encontrei um par onde não está.

@ECHO OFF
ECHO DigiNotar Certificate Fix for Windows XP and Windows Server 2003
ECHO:
ECHO This is a interim fix for use until Microsoft release an official update.
ver | find "XP" > nul && goto VER_OK
ver | find "5.2.3790" > nul && goto VER_OK
ECHO:
ECHO Looks like you are not running Windows XP or Windows Server 2003 so there's nothing to do
GOTO DONE

:VER_OK
if exist %SystemRoot%\system32\certutil.exe goto CU_OK
ECHO:
ECHO ***** ERROR: %SystemRoot%\system32\certutil.exe not found on this machine so cannot continue.
GOTO DONE

:CU_OK
ECHO Deleting Certificates...
ECHO:
certutil -delstore authroot "c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c"
certutil -delstore authroot "43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3"
ECHO:
ECHO:
ECHO Deleting certificate cache...
ECHO:
ECHO If the cache is already empty you may see "-URLCache command FAILED" which can be ignored.
ECHO:
certutil -urlcache * delete

ECHO Certificate cleanup done

:DONE
    
por 06.09.2011 / 11:28
2

Da mesma página:

Suggested Actions

All supported editions of Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2 use the Microsoft Certificate Trust List to validate the trust of a certificate authority. There is no action required for users of these operating systems because Microsoft has removed the DigiNotar root certificate from the Microsoft Certificate Trust List.

No update is available at this time for supported editions of Windows XP and Windows Server 2003.

Você sempre pode remover os certificados manualmente.

    
por 05.09.2011 / 21:44