风险范围

由受信任证书颁发机构（CA）签发的数字证书用于验证计算机身份。SSL（HTTPS）和TLS等隐私保护协议依赖服务器数字证书来确保第三方无法窃听或篡改客户端与服务器之间的通信。若受信任CA被入侵或欺骗签发欺诈证书，攻击者可能获取数字证书以参与HTTPS会话，实施窃听或篡改。

成功攻击需满足两个条件：

1. 攻击者已获取目标服务器或域名的数字证书；
2. 攻击者能够篡改进行中的通信，具体方式包括：
   • 位于本地网络（如开放无线网络）；
   • 控制客户端与服务器间的网络基础设施；
   • 控制ISP的DNS服务器或通过DHCP响应影响DNS选择。

已知DigiNotar签发的欺诈证书涉及*.google.com、*.microsoft.com、*.windowsupdate.com等关键域名。

受影响配置

• 所有Windows版本均受影响，但防护机制不同：
  • Windows Vista/7/Server 2008：通过Windows Update的证书信任列表（CTL）自动验证根证书。截至8月29日，CTL已移除DigiNotar的信任。
  • Windows XP/Server 2003：依赖静态根证书列表，需通过非安全更新KB931125获取证书更新。若未安装该更新则不受影响；若在2008年11月后安装，则需手动移除DigiNotar根证书。
• Windows Phone设备不受影响，因其信任根证书存储中未包含DigiNotar证书。

微软的防护措施

• Windows Vista及更新系统：已更新Windows Update的CTL，移除DigiNotar信任。系统缓存每7天更新一次，最后可能受攻击日期为9月5日。
• Windows XP/Server 2003：正在准备更新，将DigiNotar添加至“不受信任证书存储”。

用户防护措施

1. 启用自动更新：确保及时获取微软更新。
2. 手动删除DigiNotar根证书：
   • 打开MMC控制台，添加“证书”管理单元（选择计算机账户→本地计算机）。
   • 导航至“受信任的根证书颁发机构”→删除以下指纹的DigiNotar根证书：
     • c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c
     • 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3
   • 命令行操作：

     1 2	certutil -delstore authroot "c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c" certutil -delstore authroot "43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3"

3. 清理缓存：执行certutil –urlcache * delete清除本地CTL缓存。
4. 企业用户：若通过组策略禁用自动根证书更新并手动添加过DigiNotar，需通过组策略将其添加至“不受信任证书存储”。

Windows Update的额外防护

Windows Update客户端仅安装由微软根证书签名的二进制文件，因此攻击者无法利用欺诈证书通过Windows Update服务器安装恶意软件。

更新于9月5日：添加了命令行操作示例。