Jika tidak ada orang lain yang mengatakannya, saya akan melakukannya. Microsoft mengacau beberapa tahun yang lalu dan menerbitkan pembaruan ke CA root tepercaya yang merusak mesin mana pun yang cukup beruntung untuk mendapatkan pembaruan tersebut sebelum Microsoft menarik pembaruan. Sampai hari ini, saya masih menangani masalah ini.
Karena saya memahami implikasi keamanan, saya tidak memberikan tautan langsung ke masalah ini. Alih-alih, inilah yang dicari seseorang di Google untuk menemukan informasi terkait:
Pembaruan KB3004394 memecah Sertifikat root di Windows 7 / Windows Server 2008 R2
Microsoft merilis patch 'Silver Bullet' KB 3024777 untuk menghilangkan KB 3004394
Dan yang saya alami dan sampai hari ini menyebabkan banyak masalah:
Masalah komunikasi SSL / TLS setelah Anda menginstal KB 931125
Paket ini menginstal lebih dari 330 Otoritas Sertifikasi Root Pihak Ketiga. Saat ini, ukuran maksimum daftar otoritas sertifikat tepercaya yang didukung paket keamanan Schannel adalah 16 kilobyte (KB). Memiliki sejumlah besar Otoritas Sertifikasi Root Pihak Ketiga akan melampaui batas 16k, dan Anda akan mengalami masalah komunikasi TLS / SSL.
Alasan lain adalah karena Microsoft tidak mempercayai sejumlah CA root selama bertahun-tahun. Admin malas hanya akan menonaktifkan fitur ini untuk server Intranet mereka dan tidak pernah menyelesaikan masalah root - menandatangani ulang semuanya yang tidak lagi dipercaya.
Bagaimanapun, jawaban sederhana adalah dengan menggunakan sertifikat penandatanganan kode yang berbeda.