De bij DigiNotar uitgegeven SSL-certificaten voor *.microsoft.com en *.windowsupdate.com vormen geen gevaar voor de veiligheid van Windows-gebruikers, zo laat Microsoft in reactie op verschillende artikelen weten. Aanvallers wisten bij DigiNotar meer dan vijfhonderd frauduleuze certificaten te genereren, waaronder voor Microsoft domeinen.

De softwaregigant laat weten dat gebruikers op geen enkel platform gevaar liepen om via Windowsupdate.com gehackt te worden, aangezien dit domein niet meer door Microsoft wordt gebruikt. Daarnaast gebruikt de Windows Update service verschillende manieren om te controleren of de aangeboden content legitiem en niet geïnfecteerd is.

Update
"Aanvallers zijn niet in staat om een frauduleus Windows Update certificaat te gebruiken om malware via de Windows Update servers te installeren. De Windows Update client installeert alleen binaire bestanden die door het Microsoft root CA certificaat zijn gesigneerd, dat door Microsoft is uitgegeven en wordt beveiligd. Ook loopt Windows Update zelf geen risico, zelfs niet bij een aanvaller die een frauduleus certificaat heeft", zegtJonathan Ness van Microsoft Security Response Center.

Gebruikers van Vista, Server 2008 en Windows 7 waren al sinds 29 augustus tegen de frauduleuze certificaten beschermd, toen Microsoft deze advisory uitbracht.

Kwetsbare platformen
Volgens Microsoft treft de DigiNotar-hack alle Windows-versies. Als een gebruikers via Internet Explorer een SSL-verbinding opzet op Windows 7, Vista en Server 2008 en een nieuw root-certificaat tegenkomt, controleert de Windows certificate chain verification software een lijst van geldige root-certificaten. Deze lijst wordt bij Windows Update gehost. Sinds 29 augustus is DigiNotar van de Certificate Trust List (CTL) op Microsoft Update verwijderd.

Windows XP en Server 2003 beschikken over een ander update mechanisme. Deze versies gebruiken een statische lijst van vertrouwde root certificate authorities. Deze lijst wordt via een niet-security update bijgehouden. DigiNotar was oorspronkelijk niet als een vertrouwd root certificaat in Windows XP toegevoegd. Gebruikers die deze update nooit geinstalleerd hebben, lopen dan ook geen risico voor door DigiNotar uitgegeven certificaten.

Zelf verwijderen
Windows installaties waar de update vanaf november 2008 wel is geïnstalleerd, zullen DigiNotar certificaten wel vertrouwen. Voor gebruikers van Windows XP en Server 2003 zal Microsoft een update uitbrengen die DigiNotar volledig uit Internet Explorer verwijdert. Windows Phone apparaten lopen geen risico, aangezien daar geen DigiNotar certificaten in de Trusted Root Certificate Store staan. In deze blogposting geeft Microsoft tips hoe gebruikers DigiNotar zelf van hun systeem kunnen verwijderen.