Se leggi il post del blog di Ryan Hurst (a cui ti colleghi), scoprirai che contiene una serie di idee sbagliate. Non mi fiderei di ciò che hai letto sul blog per essere corretto. In particolare, la maggior parte o tutte le critiche in quel post sembrano non essere valide.
Quindi, no, per quanto posso dire, il certificato WindowsUpdate non è difettoso.
No, non è possibile utilizzare SSL Labs per valutare la sicurezza di WindowsUpdate. Voglio dire, probabilmente potresti configurare un modo per usarlo, ma quello sarebbe un cattivo uso di Labs SSL: i risultati del rapporto potrebbero non essere applicabili, dato come funziona WindowsUpdate. Ad esempio, Ryan Hurst interpreta male i risultati dei laboratori SSL. SSL Labs è destinato alla valutazione di server Web pubblici che devono essere visitati da persone con il loro browser web. WindowsUpdate non funziona in questo modo; non è un servizio web pubblico. Piuttosto, la maggior parte delle persone riceve aggiornamenti tramite un client dedicato che gira sul proprio computer e parla direttamente al server WindowsUpdate. I risultati dei laboratori SSL non sono pertinenti e potrebbero non essere accurati in quel contesto. Ad esempio, la critica di Ryan Hurst secondo cui il certificato di WindowsUpdate non viene convalidato (con SSL Labs) rappresenta solo una confusione sul funzionamento di WindowsUpdate; non è richiesto né richiesto che il certificato di WindowsUpdate convalidi utilizzando i certificati radice di Mozilla, poiché solo il client Windows Update deve convalidare il certificato di root di Windows Update e il client Windows Update lo fa correttamente. WindowsUpdate non ha mai supportato Mozilla / Firefox. Quindi questa è fondamentalmente una critica fasulla.
Non so perché il server WindowsUpdate supporti SSL 2.0. Questa è una domanda giusta.
(Si prega di comprendere che le critiche di Ryan Hurst sono ortogonali all'attacco Flame. Non sono correlate, non sono sicuro di come siano state accolte in questa domanda.)