IE8 中的 DigiNotar 受信任根证书

IE8 中的 DigiNotar 受信任根证书

鉴于数码公证加州妥协我决定在所有 Windows PC 上检查我的 Internet Explorer 受信任的根证书,Windows 7 没有显示来自 DigiNotar 的证书,但我的所有 XP PC 上都有。

在此处输入图片描述

然后我读此 Microsoft 公告,并且在“建议的操作”下显示“微软已从微软证书信任列表中删除了 DigiNotar 根证书。”

那么为什么它们仍然出现在 XP 中的 IE8 列表中?

微软是在谈论不同的名单吗?

我应该删除两个 DigiNotar 根证书吗?

编辑:

以下是我迄今为止学到的知识和所做的事情。

根据 Microsoft 的说法,Windows Vista 和更高版本已经进行了修补,我检查了应用程序事件日志中的“CAPI2”事件,没有发现有关 DigiNotar 安装或删除的条目,所以也许它们根本不存在。

XP 将很快发布更新来解决这个问题,通过链接了解到由 Linker3000 发表在评论中

我对 XP 的操作是,转到控制面板 > Internet 选项 > 内容选项卡 > 证书按钮 > 受信任的根证书选项卡。我将两个 DigiNotar 受信任证书导出到一个文件夹中,然后从受信任的证书列表中删除它们。

删除后,我转到“不受信任的发布者”选项卡并导入我之前导出的证书,然后关闭证书窗口。然后单击“内容”选项卡上的“清除 SSL 状态”,这将清除您拥有的证书缓存,然后关闭 Internet 选项。

您还应该清除 Vista 和 Windows 7 中的缓存,这将在重新启动时完成,但您可能暂时不会重新启动。

编辑 2:微软发布了 Windows 更新KB-2607712

所有其他 Windows 版本

答案1

2011 年 9 月 8 日更新

微软现在已经发布了涵盖 XP 和 Server 2003 的官方修复程序,因此不再需要下面的代码。请参阅以下内容:

http://www.microsoft.com/technet/security/advisory/2607712.mspx

http://support.microsoft.com/kb/2607712


针对我对 XP 和 Windows 2003 的评论,微软尚未(截至 2011 年 9 月 6 日)发布针对此问题的自动补丁/修复。我编写了以下批处理文件,以自动删除 Windows XP 和 Windows Server 2003 上的 DigiNotar 证书 - 这是一个临时修复,并遵循我评论中的两个 Microsoft 公告中的说明:

http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx

http://support.microsoft.com/kb/2328240

请阅读这些公告以了解背景信息。

请注意,此脚本需要在 Windows XP 或 Server 2003 计算机上的每个帐户中运行,Microsoft 公告包含在某些情况下进行额外清理的进一步说明。使用风险自负等。

certutil.exe 程序应该位于 XP 和 2003 计算机的 \windows\system32 文件夹中,但是我发现有几个计算机中没有这个程序。

@ECHO OFF
ECHO DigiNotar Certificate Fix for Windows XP and Windows Server 2003
ECHO:
ECHO This is a interim fix for use until Microsoft release an official update.
ver | find "XP" > nul && goto VER_OK
ver | find "5.2.3790" > nul && goto VER_OK
ECHO:
ECHO Looks like you are not running Windows XP or Windows Server 2003 so there's nothing to do
GOTO DONE

:VER_OK
if exist %SystemRoot%\system32\certutil.exe goto CU_OK
ECHO:
ECHO ***** ERROR: %SystemRoot%\system32\certutil.exe not found on this machine so cannot continue.
GOTO DONE

:CU_OK
ECHO Deleting Certificates...
ECHO:
certutil -delstore authroot "c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c"
certutil -delstore authroot "43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3"
ECHO:
ECHO:
ECHO Deleting certificate cache...
ECHO:
ECHO If the cache is already empty you may see "-URLCache command FAILED" which can be ignored.
ECHO:
certutil -urlcache * delete

ECHO Certificate cleanup done

:DONE

答案2

来自同一页面:

建议措施

所有受支持的版本Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 使用 Microsoft 证书信任列表验证证书颁发机构的信任。这些操作系统的用户无需采取任何措施,因为 Microsoft 已将 DigiNotar 根证书从 Microsoft 证书信任列表中删除。

目前尚无适用于 Windows XP 和 Windows Server 2003 受支持版本的更新。

您随时可以手动删除证书。

相关内容