How Automatic Root Certificates Update works in Vista / Windows 7

Hallo zusammen,

Kürzlich bin ich bei den Vorbereitungen einer SSL Website mit einem Public Zertifikat über etwas interessantes gestossen. Bei Windows XP/2003 muss man die Stammzertifikate regelmässig updaten. Mehr Infos und das entsprechende Stammzertifikatupdate gibt es hier: http://support.microsoft.com/kb/931125

Das Update der Stammzertifikate aus obenstehendem Link kann man übrigens auch über WSUS oder mit dem /q Parameter (Quiet mode) installieren. Die Installation mit rootsupd.exe funktioniert übrigens auch bei Windows Vista und Windows 7 noch.

Ab Windows Vista ist es nicht mehr notwendig die Root Zertifikate regelmässig upzudaten, denn hier werden diese sozusagen "On Demand" aktualisiert.

Greift man Beispielsweise auf eine HTTPS Website zu, bei der das Zertifikat von einer Stammzertifizierungsstelle ausgestellt ist, welche nicht in den "Vertrauenswürdigen Stammzertifizierungsstellen" des Zertifikatsspeichers abgelegt ist, so gleicht sich Vista mit der Windows Update Seite ab und installiert das Stammzertifikat falls es ein Mitglied des "Windows-Programms für Stammzertifikate" ist.

Mehr Informationen zum Automatischen Stammzertifikate Update gibt es hier: http://technet.microsoft.com/de-de/library/cc749331(WS.10).aspx

Das Automatische update der Stammzertifikatekann aber über die Gruppenrichtlinien deaktiviert werden - Standardmässig ist das Automatische Update aber eingeschaltet.

Machen wir doch die Probe aufs Exempel:

Einer der Mitglieder des Windows-Programms für Stammzertifikate ist https://www.a-trust.at/. Mit dem Browser auf diese Seite zugreifen und ein Refresh der Anzeige in der MMC machen.

Und tatsächlich, das A-Trust Zertifikat wurde instaliert. Danke Windows!

Sieht man sich das im Network Monitor an, so sieht man dass Windows auf die folgende URL zugreift

http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20Secure%20Server%20Authority(8).crl

Grüsse
Andres Bohren