Esta semana se observó que, aparentemente, Microsoft presentó 17 nuevos certificados raíz de confianza ( Artículo de Infoworld ). La falta de anuncio público parece un poco extraño.
¿Alguien está al tanto de un comunicado de prensa de Microsoft o de alguna otra publicación que pueda hacer que este evento parezca menos siniestro? Además, ¿debería preocuparme que mis almacenes de confianza se actualicen sin notificarme o consultarme?
No, los nuevos certificados raíz se agregan de forma regular. Microsoft tiene un programa de Trusted Root Certificate que permite que las CA se inscriban.
Esto sucede con la mayoría de los productos que manejan la verificación de certificados. Por ejemplo, esta es la lista de Mozilla donde puede ver que hay varios agregados por año.
Para la lista de Microsoft, puede simplemente verificar el almacén de certificados de su sistema operativo Windows para verificar su certeza.
Bueno, el problema aquí es que Microsoft debería haber actualizado el documento PDF de la lista de miembros de Root Certificate Program y, como mínimo, haber notificado a sus clientes corporativos y gubernamentales, lo que no han hecho.
Además, SilverlightFox está equivocado: no puede "simplemente revisar el almacén de certificados de su sistema operativo Windows para obtener certificados de raíz", ya que esto solo proporciona una lista de certificados de raíz actualmente almacenados en caché, que generalmente es muy diferente de la lista completa de certificados de raíz que Windows confiará (349 a partir de hoy, sea lo que sea certmgr.msc).
Lea otras preguntas en las etiquetas public-key-infrastructure tls