Μετά από χρόνια, η Microsoft αποφάσισε να μας προστατέψει. Από την 1η Απριλίου 2022 (όχι είναι πρωταπριλιάτικη φάρσα), η Microsoft φαίνεται ότι πρόσθεσε επιτέλους το πρωτόκολλο https στις λήψεις για ενημερώσεις, αντί του μη κρυπτογραφημένου πρωτοκόλλου http.
Εδώ και χρόνια η Google & Co μας προετοίμαζε ότι η επικοινωνία μας με τους ιστότοπους θα πρέπει να γίνεται μέσω του πρωτοκόλλου https, για εγγυημένες επικοινωνίες μέσω κρυπτογράφησης από διακομιστές που χρησιμοποιούν πιστοποιητικά SSL.
Στη Microsoft, ωστόσο, εδώ και πολλά χρόνια οι λήψεις των πακέτων ενημέρωσης δεν χρησιμοποιούσαν κάποιο κρυπτογραφημένο πρωτοκόλλο. Έτσι ήταν καιρός για τη εταιρεία να αλλάξει τον τρόπο λήψης των πακέτων ενημέρωσης μέσω του πρωτοκόλλου https για να αυξήσει την ασφάλεια.
Τα πακέτα ενημέρωσης παρέχονται βέβαια με κλειδιά SHA και ψηφιακές υπογραφές και έτσι προστατεύονται από κάθε παραποίηση. Ωστόσο, τα περισσότερα προγράμματα περιήγησης είχαν προβλήματα με τις διευθύνσεις http.
Από την 1η Απριλίου 2022, όλες οι λήψεις ενημερώσεων από τους διακομιστές ενημερώσεων της εταιρείας και από το Microsoft Update Catalog πραγματοποιούνται μέσω του πρωτοκόλλου https. Έτσι τα links από το Microsoft Update Catalog θα έχουν το παρακάτω σχήμα:
https://catalog.s.download.windowsupdate.com/c/msdownload/update
αντί για:
http://download.windowsupdate.com/d/msdownload/update/
Όπως φαίνεται δεν έχει επιβληθεί μόνο το πρωτόκολλο https, αλλά η λήψη ξεκινά και από ένα subdomain (catalog.s), όπου το s στη διεύθυνση URL πιθανώς σημαίνει ασφαλές.
Για τις λήψεις από το Microsoft Update Catalog δεν αλλάζει τίποτα – εκτός βέβαια από τα links που θα πρέπει πιθανώς να προσαρμοστούν.
Η εταιρεία θα μπορούσε να διορθώσει το συγκεκριμένο θέμα πολύ απλά με μια σνακατεύθυνση.