关于微软对DigiNotar泄露事件的进一步回应

这篇博客文章已于2011年9月5日更新如下。

微软对DigiNotar泄露事件的范围和影响的调查在假期周末期间持续进行。我们现在已经确认，由这家荷兰公司签发的欺诈证书中包括针对 *.microsoft.com 和 *.windowsupdate.com 的伪造证书。

自我们于8月29日发布安全公告2607712以来，Vista及更高版本操作系统的用户已受到保护。此外，在任何平台上使用Windows Update的客户不会因windowsupdate.com证书而面临利用风险，因为该域名已不再使用。Windows Update服务采用多种方式检查分发的内容是否合法且未被篡改。有关微软如何保护客户以及客户可采取的进一步保护措施的更多信息，请参阅今天的SRD博客文章《保护自己免受利用欺诈性DigiNotar数字证书的攻击》。

一如既往，我们持续采取行动确保客户的安全。我们已经从证书信任列表中移除了两个DigiNotar根证书，这些证书涵盖了我们认为绝大多数欺诈签发的数字证书。所有已向微软披露的欺诈证书均归属于这两个根证书之一。我们还在为XP和Server 2003客户更新安全公告2607712，并继续调查由伪造的 *.microsoft.com 证书引起的任何其他问题。我们将向客户提供最新的可用信息。

Dave Forstrom
可信计算总监

2011年9月5日更新
8月29日，微软发布了安全公告2607712，从证书信任列表中移除了两个DigiNotar根证书。我们正在将所有由DigiNotar拥有或管理的证书颁发机构移至不受信任证书存储区，这将阻止任何使用DigiNotar证书的网站的访问。微软正准备发布一个更新以实现这些保护措施。

微软正在向全球客户提供此更新，以保护他们免受此次泄露事件的影响。应荷兰政府的明确请求，微软将在荷兰延迟部署此更新一周，以便政府有时间更换证书。希望安装此更新的荷兰客户可以通过手动访问Windows Update或在全球发布安全更新后按照 _ww.microsoft.nl_ 上的说明进行操作。

有关进一步更新和客户可采取的额外保护措施，请访问：http://blogs.technet.com/b/msrc。