IE8 में DigiNotar ट्रस्टेड रूट सर्टिफिकेट


1

DigiNotar CA समझौता के आलोक में मैंने अपने सभी विंडोज पीसी पर अपने इंटरनेट एक्सप्लोरर ट्रस्टेड रूट सर्टिफिकेट की जांच करने का फैसला किया, विंडोज 7 ने DigiNotar से कोई नहीं दिखाया, लेकिन मेरे सभी XP पीसी ने किया।

यहाँ छवि विवरण दर्ज करें

मैंने तब Microsoft बुलेटिन पढ़ा , और सुझाए गए कार्यों के तहत यह कहा "Microsoft ने Microsoft प्रमाणपत्र ट्रस्ट सूची से DigiNotar रूट प्रमाणपत्र को हटा दिया है।"

तो वे अभी भी XP में IE8 के लिए सूची में क्यों दिखाते हैं?

क्या Microsoft एक अलग सूची के बारे में बात कर रहा है?

क्या मुझे DigiNotar रूट प्रमाणपत्र दोनों को हटाना चाहिए?

संपादित करें:

यहाँ मैंने अभी तक क्या सीखा है और मैंने क्या किया है।

Windows Vista और उच्चतर Microsoft के अनुसार पैच किया गया है मैंने "CAPI2" इवेंट के लिए एप्लिकेशन इवेंट लॉग की जाँच की, मुझे DigiNotar को स्थापित करने या हटाने के लिए कोई प्रविष्टि नहीं मिली, इसलिए शायद वे पहले स्थान पर नहीं थे।

XP के पास इस मुद्दे का ध्यान रखने के लिए जल्द ही एक अपडेट होगा, इसे लिंकर 3000 द्वारा टिप्पणियों में पोस्ट किए गए लिंक से सीखा गया है

मैंने XP के लिए क्या किया, नियंत्रण कक्ष> इंटरनेट विकल्प> सामग्री टैब> प्रमाणपत्र बटन> विश्वसनीय रूट प्रमाणपत्र टैब पर गया। मैंने एक फ़ोल्डर में दोनों DigiNotar विश्वसनीय प्रमाण पत्र निर्यात किए, फिर मैंने उन्हें विश्वसनीय सेरेस सूची से हटा दिया।

एक बार हटाए जाने के बाद, मैं "अनट्राइल्ड पब्लिशर्स" टैब पर गया और उन सीरियलों को आयात किया, जिन्हें मैंने पहले निर्यात किया था, फिर मैंने सर्टिफिकेट की खिड़कियां बंद कर दीं। फिर कंटेंट टैब पर "क्लियर एसएसएल स्टेट" पर क्लिक करें, यह आपके पास मौजूद क्लीयर और सर्टिफिकेट कैश, फिर बंद इंटरनेट विकल्प।

आपको विस्टा और विंडोज 7 में भी कैश को साफ करना चाहिए, यह रिबूट पर किया जाएगा हालांकि आप थोड़ी देर के लिए रिबूट नहीं कर सकते हैं।

EDIT 2: Microsoft ने Windows KB-2607712 के लिए एक अपडेट जारी किया है

अन्य सभी विंडोज संस्करण


1
आप अपने खुद के जवाब है, तो है एक जवाब के रूप में पोस्ट।
ग्रैविटी

यदि संभव हो तो मैं समुदाय से एक होना चाहूंगा। मैं केवल अपने स्वयं के सवालों का जवाब देता हूं जब किसी और ने कई दिनों तक सही या सही उत्तर नहीं दिया,
Moab

जवाबों:


2

अपडेट 08-सितंबर -2018

Microsoft ने अब एक आधिकारिक फिक्स जारी किया है जो XP और सर्वर 2003 को कवर करता है इसलिए नीचे दिए गए कोड की आवश्यकता नहीं है। निम्नलिखित देखें:

http://www.microsoft.com/technet/security/advisory/2607712.mspx

http://support.microsoft.com/kb/2607712


XP और विंडोज 2003 के बारे में मेरी टिप्पणी के आगे, माइक्रोसॉफ्ट ने (06-सितंबर -2011 के अनुसार) इसके लिए एक स्वचालित पैच / फिक्स जारी नहीं किया है। मैंने Windows XP और Windows Server 2003 पर DigiNotar प्रमाणपत्रों को हटाने को स्वचालित करने के लिए नीचे दी गई बैच फ़ाइल लिखी है - यह एक अंतरिम निर्धारण है और मेरी टिप्पणी में दो Microsoft बुलेटिन में नोटों का अनुसरण करता है:

http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx

http://support.microsoft.com/kb/2328240

कृपया पृष्ठभूमि जानकारी के लिए उन बुलेटिनों को पढ़ें।

ध्यान दें कि इस स्क्रिप्ट को Windows XP या Server 2003 मशीन पर प्रत्येक खाते में चलाने की आवश्यकता है और Microsoft बुलेटिन में कुछ परिस्थितियों में अतिरिक्त सफाई के लिए और निर्देश हैं। अपने जोखिम आदि पर प्रयोग करें।

Certutil.exe प्रोग्राम XP और 2003 मशीनों पर \ windows \ system32 फ़ोल्डर में होना चाहिए, लेकिन मुझे एक युगल मिला है जहां यह नहीं है।

@ECHO OFF
ECHO DigiNotar Certificate Fix for Windows XP and Windows Server 2003
ECHO:
ECHO This is a interim fix for use until Microsoft release an official update.
ver | find "XP" > nul && goto VER_OK
ver | find "5.2.3790" > nul && goto VER_OK
ECHO:
ECHO Looks like you are not running Windows XP or Windows Server 2003 so there's nothing to do
GOTO DONE

:VER_OK
if exist %SystemRoot%\system32\certutil.exe goto CU_OK
ECHO:
ECHO ***** ERROR: %SystemRoot%\system32\certutil.exe not found on this machine so cannot continue.
GOTO DONE

:CU_OK
ECHO Deleting Certificates...
ECHO:
certutil -delstore authroot "c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c"
certutil -delstore authroot "43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3"
ECHO:
ECHO:
ECHO Deleting certificate cache...
ECHO:
ECHO If the cache is already empty you may see "-URLCache command FAILED" which can be ignored.
ECHO:
certutil -urlcache * delete

ECHO Certificate cleanup done

:DONE

इसे अविश्वसनीय सूची में जोड़ने के बारे में क्या?
मोआब

स्क्रिप्ट वही करती है जो एमएस को चीजों के बारे में जाने के लिए कमांड लाइन के तरीके के रूप में सुझाती है और यह लगभग 5 सेकंड के फ्लैट में चलती है इसलिए यदि आपके पास काम करने के लिए बहुत सारी मशीनें हैं तो यह आसान है।
Linker3000

2

उसी पेज से:

सुझावित गतिविधियां

Windows Vista, Windows 7, Windows Server 2008 और Windows Server 2008 R2 के सभी समर्थित संस्करण एक प्रमाणपत्र प्राधिकारी के विश्वास को मान्य करने के लिए Microsoft प्रमाणपत्र ट्रस्ट सूची का उपयोग करते हैं । इन ऑपरेटिंग सिस्टम के उपयोगकर्ताओं के लिए कोई कार्रवाई की आवश्यकता नहीं है क्योंकि Microsoft ने Microsoft प्रमाणपत्र ट्रस्ट सूची से DigiNotar रूट प्रमाणपत्र को हटा दिया है।

Windows XP और Windows Server 2003 के समर्थित संस्करणों के लिए इस समय कोई अपडेट उपलब्ध नहीं है।

आप हमेशा प्रमाण पत्र मैन्युअल रूप से निकाल सकते हैं।


मैंने देखा कि, हालांकि मेरे सवालों का जवाब नहीं है। यदि Microsoft ने इसे हटा दिया है तो यह अभी भी क्यों दिखता है, तो उन्हें अधिक विशिष्ट होने की आवश्यकता है।
Moab

क्या कोई ऐसा है जो एमएस से भविष्य के रूट सर्टिफिकेट अपडेट को IE8 में मेरी सूची से हटा देगा? यह भी उत्सुक है कि W7 IE9 में क्यों नहीं है।
Moab

1
जैसा कि ऊपर उल्लेख किया गया है, माइक्रोसॉफ्ट ने इसे एक्सपी पर नहीं हटाया था। आपको प्रमाणपत्रों को मैन्युअल रूप से निकालना होगा।
बाजीगर

@Moab: " Windows Vista, Windows 7, Windows Server 2008 और Windows Server 2008 R2 के सभी समर्थित संस्करण Microsoft प्रमाणपत्र सूची का उपयोग करते हैं।" इसमें XP शामिल नहीं है, जैसा कि दूसरा पैराग्राफ पुष्टि करता है।
ग्रेविटी

कमांड लाइन तरीके XP और 2003 से प्रमाण पत्र को दूर करने के लिए नीचे दिए गए दो माइक्रोसॉफ्ट तकनीक नोट्स देखें: blogs.technet.com/b/srd/archive/2011/09/04/... और support.microsoft.com/kb/2328240 पहले स्थानीय दुकानों से प्रमाण पत्र निकालता है और दूसरा आपको दिखाता है कि कैश से किसी भी प्रमाण पत्र को कैसे साफ़ किया जाए। Microsoft ने कहा है कि वे XP / 2003 के लिए स्वचालित रूप से ऐसा करने के लिए एक Windows अद्यतन जारी करेंगे लेकिन एक समय सीमा नहीं दी है।
Linker3000
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.