[新闻] 20110907，微软进一步响应 DigiNotar 证书事件

本文转译自微软安全响应中心博客文章 More on Microsoft’s response to the DigiNotar compromise

2011 年 9 月 4 日

微软在周末假期中继续调查了 DigiNotar 证书泄露事件的影响范围。我们现在已经确认， *.microsoft.com 和 *.windowsupdate.com 的欺骗性证书是由荷兰公司颁发的。

我们在8月29日发布了安全公告 2607712，所以 Vista 和更新的操作系统的用户已经得到了保护。另外，用户在任何平台使用 Windows Update 时都不会遭到由 windowsupdate.com 引发的攻击，因为我们已经不再使用这一域名。Windoows Update服务使用多种方法来确保发布内容的合法性与完整性。想要进一步了解微软如何保护用户，以及用户可以采取的更多保护措施，请阅读今天 SRD 发布的博客文章：“保护自己免受利用欺骗性 DigiNotar 数字证书的攻击”。

像往常一样，我们将继续采取行动来确保用户的安全。我们已经从证书信任列表（Certificate Trust List）中移除了两项 DigiNotar 根证书，我们相信绝大部分的欺骗性证书都与这两项根证书有关。微软目前得到的所有欺骗性证书都可以追溯到这两份根证书之一。我们也正在为 XP 和 Server 2003 的用户更新安全公告 2607712，并继续调查由 *.microsoft.com 欺骗性证书可能引起的其它问题。我们将及时向用户提供最新信息。

Dave Forstrom

可依赖计算部门总监

2011 年 9 月 5 日更新：

8月29日，微软发布了安全公告 2607712，从证书信任列表中移除了两项根证书。我们正在把所有由 DigiNotar 拥有或者管理的证书机构移入不受信任的证书存储区（Untrusted Certificate Store），从而拒绝访问使用 DigiNotar 证书的网站。微软准备发布更新来实施这些保护措施。

为了保护用户不受这一事件影响，微软向全球范围内的用户提供更新。由于荷兰政府的明确请求，微软将在荷兰推迟一周部署更新，荷兰政府将在这一周中完成证书更换。荷兰用户如果想安装此更新，可以在安全更新全球发布后手动访问 Windows Update，或者按照 www.microsoft.nl 上的指示操作。

想要了解事件更新和用户可以采取的更多保护措施，请访问：https://blogs.technet.com/b/msrc