In teoria, potresti applicare il seguente metodo:
-
Elimina tutti i certificati CA radice eccetto quelli assolutamente necessari per Windows, come indicato qui .
-
Installa l'elenco corrente della CA radice affidabile dal pacchetto corrente . Si noti che la convalida di questo pacchetto richiede che ci si fidi ancora di una delle CA "necessarie" principali, motivo per cui è necessario mantenerle nel primo passaggio.
Sottolineo che non ho testato questo metodo . Come fase preparatoria, potresti voler fare un backup di tutti questi certificati: esegui certmgr.msc
, apri Root
store, selezionali tutti (ad es. Con Ctrl-A), quindi fai clic con il tasto destro e scegli di esportarli tutto come un file PKCS # 7. Quel file conterrà una copia di tutti i certificati, che dovrebbe consentire di riparare le cose, se il metodo sopra non riesce in qualche modo. Anche in questo caso, il ripristino non è stato verificato.
Diffida della molteplicità dei negozi. certmgr.msc
mostra una vista aggregata contenente certificati provenienti da varie fonti ("negozi fisici"). Per capire cosa stai per fare, nel gestore certificati, fai clic con il pulsante destro del mouse sul nodo Certificati (nodo radice dell'albero nel riquadro di sinistra), quindi seleziona Visualizza Opzioni e seleziona la casella Archivio certificati fisici . Questo processo è descritto in questo post di blog (con schermate).