How Automatic Root Certificates Update works in Vista / Windows 7

Hallo zusammen,

Krzlich bin ich bei den Vorbereitungen einer SSL Website mit einem Public Zertifikat ber etwas interessantes gestossen. Bei Windows XP/2003 muss man die Stammzertifikate regelmssig updaten. Mehr Infos und das entsprechende Stammzertifikatupdate gibt es hier:http://support.microsoft.com/kb/931125

Das Update der Stammzertifikate aus obenstehendem Link kann man brigens auch ber WSUS oder mit dem /q Parameter (Quiet mode) installieren. Die Installation mit rootsupd.exe funktioniert brigens auch bei Windows Vista und Windows 7 noch.

Ab Windows Vista ist es nicht mehr notwendig die Root Zertifikate regelmssig upzudaten, denn hier werden diese sozusagen "On Demand" aktualisiert.

Greift man Beispielsweise auf eine HTTPS Website zu, bei der das Zertifikat von einer Stammzertifizierungsstelle ausgestellt ist, welche nicht in den "Vertrauenswrdigen Stammzertifizierungsstellen" des Zertifikatsspeichers abgelegt ist, so gleicht sich Vista mit der Windows Update Seite ab und installiert das Stammzertifikatfallses ein Mitglied des "Windows-Programms fr Stammzertifikate" ist.

Mehr Informationen zum Automatischen Stammzertifikate Update gibt es hier: http://technet.microsoft.com/de-de/library/cc749331(WS.10).aspx

Das Automatischeupdate der Stammzertifikatekann aber ber die Gruppenrichtlinien deaktiviert werden - Standardmssig ist das Automatische Update aber eingeschaltet.

Machen wir doch die Probe aufs Exempel:

Einer der Mitglieder des Windows-Programms fr Stammzertifikate ist https://www.a-trust.at/. Mit dem Browser auf diese Seite zugreifen und ein Refresh der Anzeige in der MMC machen.

Und tatschlich, das A-Trust Zertifikat wurde instaliert. Danke Windows!

Sieht man sich das im Network Monitor an, so sieht man dass Windows auf die folgende URL zugreift

http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20Secure%20Server%20Authority(8).crl

Grsse
Andres Bohren