<div dir="ltr">I am posting here because my update on the wiki got rejected as spam.<div><br></div><div>If I can get that fixed I will repost it to the wiki.</div><div><br></div><div>Anyway here is what I wanted to post.</div><div><br></div><div>Regards</div><div><br></div><div>John Aherne</div><div><br></div><div><br></div><div><div>Some additional information regarding wincertstore.</div><div><br></div><div>My reading of the runes relating to automatic and dynamic updates is as follows:</div><div><br></div><div>In an organisation with a sysadmin, dynamic updates will be turned off and an internal mechanism will be in place to update clients.</div><div><br></div><div>Dynamic updates represents too much of a security risk.</div><div><br></div><div>There is also an option from Microsoft on a daily basis to automatically update the certificate store</div><div><br></div><div>So sysadmins can either arrange to have the daily update occur or have it downloaded to a central system under their control where they distribute the update plus any other certificates they need to add for company use.</div><div><br></div><div><br></div><div>In smaller organisations no doubt the automatic update will be left in place.</div><div><br></div><div>It would seem that the dynamic update is part of windows os and the application is not involved in the process. The verification either succeeds or fails.</div><div><br></div><div>As an example see this link that contains this info:--</div><div><br></div><div><a href="http://dreamlayers.blogspot.co.uk/2009/12/windows-7-cant-always-automatically.html">http://dreamlayers.blogspot.co.uk/2009/12/windows-7-cant-always-automatically.html</a></div><div><br></div><div><<Today Secunia PSI refused to run with the message: "an error occurred while verifying the security certificate". Then I found that IE refused </div><div>o show <a href="https://secunia.com">https://secunia.com</a> because the certificate was "not issued by a trusted certificate authority".</div><div><br></div><div>Firefox did not have a problem with that webpage.</div><div><br></div><div>For some reason, IE did not recognize the "Thawte Server CA" certificate. IE also refused to recognize StartSSL.</div><div><br></div><div>This was really weird, because as far as I know, Windows 7 is supposed to automatically update root certificates.</div><div><br></div><div>Microsoft even explains how the process works in Vista. My first thought was that my firewall was blocking the update, but that was not it.</div><div><br></div><div>Event log showed event 4100 from CAPI2, which is "Successful auto update retrieval of third-party root certificate".</div><div><br></div><div>The problem was event 4110: "Failed to add certificate to Third-Party Root Certification Authorities store with error:</div><div><br></div><div>A certificate chain could not be built to a trusted root authority."</div><div><br></div><div>I manually downloaded and installed the latest root certificate update from Windows Update.</div><div><br></div><div>After that, everything works. I'm just left wondering why I had to deal with this in the first place.</div><div><br></div><div><br></div><div>A later comment says:</div><div><br></div><div>I think this may be because Cryptographic Services (CryptSvc) was unable to access the Internet because of the firewall.</div><div><br></div><div>Its description says that it includes the "Automatic Root Certificate Update Service, which retrieves root certificates from Windows Update". </div><div><br></div><div>There are CAPI2 events relating to downloading and unpacking a root certificates .CAB file, and those do not appear in my event log.>></div><div><br></div><div>So windows cryptographic services does the dynamic check for certificate verification.</div><div><br></div><div>However, you can always download the latest certificate store and update it yourself.</div><div><br></div><div>This strikes me as similar to using the firefox download as happens on many linux systems and how the requests library works.</div><div><br></div><div>I did a simple test to see if the dynamic update works on my win7 system.</div><div><br></div><div>I used certmgr.msc to delete the GoDaddy root certificate.</div><div><br></div><div>I then opened a browser to the godaddy site to see what would happen.</div><div><br></div><div>In some side bar I saw a link that said the cert was failing but the main site site connected without problems.</div><div><br></div><div>When I checked the certificate store there was still no godaddy root certificate. So what was happening?</div><div><br></div><div>I then downloaded the update and updated my store. I ended up with about 200 entries. More than before but since I did not make a note I can't really be sure if I got more than when I started.</div><div><br></div><div>I just need to run some more tests to see how this dynamic update is supposed to work.</div><div><br></div><div>Manually updating the certificate store</div><div><br></div><div><br></div><div>The link to manually update the certifcate store is below:</div><div><br></div><div>To Manually install the certificates</div><div><br></div><div>1. Download <a href="http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe">http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe</a></div><div><br></div><div>2. Extract the files using the command rootsupd.exe /c /t:C:\temp\extroot</div><div><br></div><div>3. from c:\temp\extroot run the following 4 commands (from an elevated prompt)</div><div><br></div><div>updroots.exe authroots.sst</div><div><br></div><div>updroots.exe updroots.sst</div><div><br></div><div>updroots.exe -l roots.sst</div><div><br></div><div>updroots.exe -d delroots.sst</div><div><br></div><div><br></div><div>Here is an extract from microsoft technet explaining how the automatic update works.</div><div><br></div><div><a href="https://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx">https://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx</a></div><div><br></div><div><<The Update Root Certificates feature in Windows Vista is designed to automatically check the list </div><div>of trusted authorities on the Windows Update Web site when this check is needed by a user's application.</div><div>Specifically, if the application is presented with a certificate issued by a certification authority in</div><div>a PKI that is not directly trusted, the Update Root Certificates feature (if it is not turned off)</div><div>will contact the Windows Update Web site to see if Microsoft has added the certificate of the root CA</div><div>to its list of trusted root certificates. If the CA has been added to the Microsoft list of trusted authorities,</div><div>its certificate will automatically be added to the set of trusted root certificates on the user's computer.</div><div>The Update Root Certificates feature can be turned off in Windows Vista by using Group Policy.</div><div><br></div><div>For more information, see "Procedures for Viewing or Changing Group Policy Settings that Affect</div><div>Certificates in Windows Vista," later in this section.>></div><div><br></div><div>Below is a link to a mozilla forum where the sysadmins have been complaining over the past 7 years that firefox will not support wincertstore so it can be integrated into their control systems.</div><div><br></div><div>As a result they drop firefox and only support chrome and IE.</div><div><br></div><div><a href="https://bugzilla.mozilla.org/show_bug.cgi?id=432802">https://bugzilla.mozilla.org/show_bug.cgi?id=432802</a></div><div><br></div>-- <br><div class="gmail_signature"><b>John Aherne</b><div><b><br></b><div><b><img src="http://www.rocs.co.uk/Images/rocs_logo_sig.gif"><br></b></div><div><b><br></b></div><div><div><b><a href="http://www.rocs.co.uk" target="_blank">www.rocs.co.uk</a><br></b></div></div></div><div>020 7223 7567</div></div>
</div></div>