2min

Vanmorgen heeft Techzine contact gehad met Microsoft over het bericht van gisterenavond waarin de hacker van DigiNotar beweert in staat te zijn Windows-updates uit te geven. Volgens Microsoft is hier geen sprake van en loopt Windows Update geen risico.

Microsoft is zelf een certificaatautoriteit en kan dus vertrouwde certificaten uitgeven. Dat doet het bedrijf dus ook voor Windows Update en alleen de updates die ondertekend zijn door de Microsoft-certificaatautoriteit worden door Windows Update geaccepteerd.

De Microsoft-certificaatautoriteit wordt zoals gezegd uitgegeven door Microsoft maar ook beheerd door Microsoft.

De hacker kan weliswaar een nepupdate maken met een certificaat van een van de gehackte autoriteiten, maar deze zal nooit worden geaccepteerd door Windows Update omdat die niet ondertekend is door de Microsoft-CA. Dit is de eerste uitspraak van de hacker die we tot op heden hebben kunnen ontkrachten.

Microsoft heeft inmiddels wereldwijd een update verspreid waardoor alle certificaten van DigiNotar ook worden gemarkeerd als niet-vertrouwd. In Nederland wacht Microsoft nog één week met het automatisch uitrollen van deze update tot veel overheidsinstellingen en bedrijven de certificaten van DigiNotar hebben vervangen. De update zal naar alle waarschijnlijkheid volgende week dinsdag door Microsoft worden verspreid in Nederland. Wil je niet langer wachten en de update nu al installeren, dan kan dat via de blog van Microsoft.

Inmiddels zijn er door diverse instanties en overheden onderzoeken ingesteld naar de gevolgen van de hack op certificaatautoriteiten. Binnenkort kunnen we daar hopelijk meer duidelijkheid over geven. Het bedrijf DigiNotar zelf is alles behalve transparant. Iets waar het inmiddels wel verbetering in heeft beloofd, maar nog niet heeft bewezen.