DigiNotar доверенные корневые сертификаты в IE8

Question

В свете компрометации DigiNotar CA я решил проверить свои доверенные корневые сертификаты Internet Explorer на всех моих компьютерах с Windows, Windows 7 не показала ни одного из DigiNotar, но все мои компьютеры с XP сделали это.

Затем я прочитал этот бюллетень Microsoft и в разделе «Предлагаемые действия» сказал:«Microsoft удалила корневой сертификат DigiNotar из списка доверия сертификатов Microsoft».

Так почему же они все еще отображаются в списке для IE8 в XP?

Microsoft говорит о другом списке?

Должен ли я удалить оба корневых сертификата DigiNotar?

РЕДАКТИРОВАТЬ:

Вот что я узнал до сих пор и что я сделал.

Windows Vista и выше были исправлены в соответствии с Microsoft. Я проверил журнал событий приложений на наличие событий "CAPI2", я не нашел записей об установке или удалении DigiNotar, поэтому, возможно, их там не было.

XP скоро будет иметь обновление, чтобы решить эту проблему, узнал об этом по ссылке, размещенной в комментариях Linker3000

Что я сделал для XP, пошел в Панель управления> Свойства обозревателя> Вкладка «Содержимое»> кнопка «Сертификаты»> вкладка «Доверенный корневой сертификат». Я экспортировал оба доверенных сертификата DigiNotar в папку, а затем удалил их из списка доверенных сертификатов.

После удаления я перешел на вкладку "Ненадежные издатели" и импортировал ранее экспортированные сертификаты, затем закрыл окна "Сертификаты". Затем нажмите "Очистить состояние SSL" на вкладке "Содержимое", это очистит и у вас есть кэши сертификатов, затем закройте окно "Свойства обозревателя".

Вы также должны очистить кеши в Vista и Windows 7, это будет сделано при перезагрузке, но вы можете не перезагрузиться некоторое время.

,

РЕДАКТИРОВАТЬ 2: Microsoft выпустила обновление для Windows KB-2607712

Все остальные версии Windows

Answer 1

Обновление 08-сен-2011

Microsoft выпустила официальное исправление, которое охватывает XP и server 2003, поэтому приведенный ниже код больше не требуется. Смотрите следующее:

http://www.microsoft.com/technet/security/advisory/2607712.mspx

http://support.microsoft.com/kb/2607712

---

В дополнение к моему комментарию о XP и Windows 2003, Microsoft не (по состоянию на 06.09.2011) выпустила автоматическое исправление / исправление для этого. Ниже я написал пакетный файл для автоматизации удаления сертификатов DigiNotar в Windows XP и Windows Server 2003 - это временное исправление, и оно следует примечаниям в двух бюллетенях Microsoft в моем комментарии:

http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx

http://support.microsoft.com/kb/2328240

Пожалуйста, прочитайте эти бюллетени для справочной информации.

Обратите внимание, что этот сценарий необходимо запускать в каждой учетной записи на компьютере с Windows XP или Server 2003, а в бюллетенях Microsoft содержатся дополнительные инструкции для дополнительной очистки в некоторых случаях. Используйте на свой страх и риск и т.д ..

Программа certutil.exe должна находиться в папке \windows \system32 на машинах с XP и 2003, но я нашел пару, где ее нет.

@ECHO OFF
ECHO DigiNotar Certificate Fix for Windows XP and Windows Server 2003
ECHO:
ECHO This is a interim fix for use until Microsoft release an official update.
ver | find "XP" > nul && goto VER_OK
ver | find "5.2.3790" > nul && goto VER_OK
ECHO:
ECHO Looks like you are not running Windows XP or Windows Server 2003 so there's nothing to do
GOTO DONE

:VER_OK
if exist %SystemRoot%\system32\certutil.exe goto CU_OK
ECHO:
ECHO ***** ERROR: %SystemRoot%\system32\certutil.exe not found on this machine so cannot continue.
GOTO DONE

:CU_OK
ECHO Deleting Certificates...
ECHO:
certutil -delstore authroot "c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c"
certutil -delstore authroot "43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3"
ECHO:
ECHO:
ECHO Deleting certificate cache...
ECHO:
ECHO If the cache is already empty you may see "-URLCache command FAILED" which can be ignored.
ECHO:
certutil -urlcache * delete

ECHO Certificate cleanup done

:DONE

Answer 2

С той же страницы:

Предлагаемые действия

Все поддерживаемые выпуски Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 используют список доверия сертификатов Microsoft для проверки доверия центра сертификации. Пользователям этих операционных систем никаких действий не требуется, поскольку Microsoft удалила корневой сертификат DigiNotar из списка доверия сертификатов Microsoft.

В настоящее время обновление недоступно для поддерживаемых выпусков Windows XP и Windows Server 2003.

Вы всегда можете удалить сертификаты вручную.