Windows 7 / Vista livré sans racines d'autorité de certification
Avec Windows 7, mais aussi avec certains Vista, le magasin des autorités racines de confiance est vide à l'installation. Pas totalement vide, il y a juste 3 racines nécessaires au fonctionnement basic de l'OS.
Le chargement se fait en fait dynamiquement, en fonction de la demande des outils appelant la crypto API. Une requête est faite vers Microsoft pour obtenir la racine nécessaire, et confirmer sa validité.
Ce système permet à Microsoft de rajouter facilement des racines, mais peut poser des problèmes dans les réseaux d'entreprise qui interdisent (bloquent) ces requêtes vers l'extérieur. Ou sur les machines qui ont désactivé ce mécanisme d'interrogation externe. Dans ces cas, il est indispensable de venir placer à la main les racines auxquelles vous faites confiance, via la MMC.
Explication de Microsoft:
"Root certificates are updated on Windows Vista automatically. When a user visits a secure Web site (by using HTTPS SSL), reads a secure email (S/MIME), or downloads an ActiveX control that is signed (code signing) and encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate. If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes."
En savoir plus
- Comment savoir alors si une racine est reconnue par Windows? Il faut consulter le site Microsoft http://social.technet.microsoft.com/wiki/contents/articles/windows-root-certificate-program-members.aspx