[Win7 IE9] automatisch updaten trusted root certificates - Windows clients

zaterdag 3 september 2011 00:23

Acties:

0 Henk 'm!

Topicstarter

Ivm issues van DigiNotar root certificate zou dit automatisch uit de trusted root certificates verwijderd moeten worden in IE9.

Alleen ben ik al aantal systemen tegengekomen waar dit niet het geval is, Diginotar staat na aantal dagen nogsteeds in de trusted root certificates.

Microsoft hier ook een artikel/update voor uitgebracht :
http://www.microsoft.com/...ity/advisory/2607712.mspx

For the moment, all supported editions of Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2 use the Microsoft Certificate Trust List to validate the trust of a certificate authority. There is no action required for users of these operating systems because Microsoft has removed the DigiNotar root certificate from the Microsoft Certificate Trust List.

Ik heb hier (via de microsoft (partner) forums) al een case over geopend bij microsoft.
Alleen krijg ik daar niet echt nuttige info, eerst melden ze paar keer dat je met windows 7 dus niets hoeft te doen en het automatisch verwijderd zou moeten worden.
En vandaag als tip om als dat niet zo is het maar met de hand te doen :

If it is the case, I suggest that you can manually remove the DigiNotar root certificate from Trusted Root CA Store. Or you can use command-line certutil.exe to remove the certificate via script.

Meer mensen hier last van ?
En weet iemand op welke manier deze updates bij IE9 uit zouden moeten komen / wat er mis kan gaan ?

https://www.strava.com/athletes/2323035

zaterdag 3 september 2011 10:55

Acties:

0 Henk 'm!

Anoniem: 80466

Hebben die systemen restricties zoals in een professionele beheerde omgeving of zijn het consumenten systemen?

zaterdag 3 september 2011 12:53

Acties:

0 Henk 'm!

alt-92

ye olde farte

Er zijn bedrijven die in Group policies Automatic Root Certificate Updates uitgeschakeld - om daarmee alle zogenaamde 'phone home" dingen uit te schakelen.
Voordeel daarvan is dat je geen auto updates krijgt (controle) en je met de basis-set certificaten die in-box worden meegeleverd blijft werken.
Dat zijn er in totaal 11.

Nadeel is dat je dus ook niet in dit soort gevallen de intrekking van een Root verwerkt krijgt omdat dat ook via het Windows Update mechanisme verloopt. (CRL en CRL+ delta's )

Overigens is dat een GPO setting die sinds Vista al niet meer recommended is in USGCB of NSA guides.
Je vind 'm onder
Computer configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings > Turn Off Antomatic Root Cert updates.

[ Voor 22% gewijzigd door alt-92 op 03-09-2011 13:22 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 3 september 2011 13:17

Acties:

0 Henk 'm!

JH66

De situatie zoals je hem beschrijft zijn we ook tegengekomen bij verschillende systemen met IE9. In de meeste gevallen konden we met de volgende 2 stappen oplossen:

-Zorg dat in menu extra -> Tab geavanceerd de optie " controleren op intrekken servercertificaat" aangevinkt staat.
-Wis de complete internetgeschiedenis/cache.

Pas na die 2 stappen kwam de juiste foutmelding/waarschuwing. Ondanks dat het automatisch intrekken aangevinkt stond bleek dat het ook af en toe nodig was om echt de complete IE geschiedenis te wissen voordat dit goed ging.

Nb. het ging in alle gevallen om stand alone systemen/ zonder group policy .

zaterdag 3 september 2011 16:14

Acties:

0 Henk 'm!

Anoniem: 119977

start >> gpedit.msc
Computerconfiguratie >>Beheersjablonen>>Internet-communicatiebeheer>Instellingen voor Internet-communicatie>> uitzetten "Automatische update van basiscertificaat uitschakelen"

zaterdag 3 september 2011 21:49

Acties:

0 Henk 'm!

DDX

Topicstarter

Probleem op zowel standalone (pc thuis) als op pc's die in kantooromgeving hangen (aan wsus)
Op mijn eigen pc werkt het sinds vandaag wel ok, terwijl ik niets heb aangepast oid.
En nog even 3 pc's getest die in kantooromgeving hangen, hebben ook geen diginotar meer.

Dus misschien idd oplossing van JH66 cache wissen.
Of in mijn geval dus lang wachten...
Maandag nog maar even kijken of ik systeem kan vinden die issue nog heeft.

Of wanneer de Staat der nederlanden ingetrokken wordt kijken hoelang dit duurt.

https://www.strava.com/athletes/2323035

zaterdag 3 september 2011 23:13

Acties:

0 Henk 'm!

alt-92

ye olde farte

OSCP en CRL in Windows staat hier verder toegelicht:
http://technet.microsoft....rary/cc770413(WS.10).aspx

Een CRL heeft een bepaalde doorlooptijd, en aangezien de DigiNotar CRL ook nog eens offline is geweest (!) kunnen die ook niet eens via die manier revoked worden.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 5 september 2011 11:30

Acties:

0 Henk 'm!

DDX

Topicstarter

http://blogs.technet.com/b/srd/

What Microsoft is doing to protect you on Windows Vista and later platforms

Microsoft has updated the Certificate Trust List (CTL) hosted on Microsoft Update to remove DigiNotar as a trusted root Certificate Authority. Attacks targeting Internet Explorer users on Windows Vista and later platforms any time after August 29th will likely fail. However, we should note that systems having previously encountered DigiNotar certificates may have cached DigiNotar as a trusted root Certificate Authority. This cached list is updated client-side every seven days. Therefore, the last date on which any attack targeting Internet Explorer users on Windows Vista and later platforms might possibly be successful is September 5th

https://www.strava.com/athletes/2323035

woensdag 7 september 2011 06:00

Acties:

0 Henk 'm!

slopert

Heeft het revoken van het Diginotar certificaat ook gevolgen voor oa communicatie met de belastingdienst, zoals btw aangifte? Misschien ook voor CBS communicatie?