Windows e Windows Phone, pericolo certificati SSL

Microsoft ha aggiornato la CTL (Certificate Trust List) su tutte le versioni di Windows e Windows Phone supportate per eliminare alcuni certificati SSL rilasciati impropriamente dal National Informatics Centre in India che potrebbero essere utilizzati per eseguire attacchi spoofing, phishing e man-in-the-middle. Tra i prodotti interessati non figura Windows XP, il che suggerisce ancora una volta di abbandonare questo vecchio sistema operativo.

Per motivi ancora da chiarire, la Certification Authority (CA) del governo indiano ha emesso diversi certificati SSL relativi a noti domini, principalmente Google e Yahoo. A differenza dell’azienda di Mountain View, Microsoft ha incluso questa CA nel suo Trusted Root Store, quindi tra le CA affidabili. Grazie al Google Chrome Security Team, che ha scoperto il problema, anche la software house di Redmond ha aggiornato la CTL e rimosso tutti i certificati fasulli. Gli utenti sono ora al sicuro e non rischiano di cadere nelle trappole dei malintenzionati che avrebbero potuto usare i certificati per compiere vari tipi di attacchi informatici (spoofing, phishing e man-in-the-middle).

Gli utenti che usano Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Phone 8 e Windows Phone 8.1 non devono compiere nessuna azione, in quanto la lista dei certificati verrà aggiornata automaticamente. Chi invece utilizza Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 “dovrebbe” essere già protetto. Per verificare se la CTL è stata aggiornata è sufficiente cercare l’evento ID 4112 nel Visualizzatore Eventi.

Nella descrizione è riportata la frase “Aggiornamento automatico elenco certificati non consentiti riuscito con data di validità: giovedì 3 luglio 2014”. Se non viene visualizzato l’evento, è necessario installare l’aggiornamento automatico dei certificati revocati (KB2677070).