Téléchargement de Microsoft Security Essentials via HTTPS

9

Je souhaite télécharger Microsoft Security Essentials sur mon tout nouveau PC domestique Windows 7. Le site officiel qui m'est présenté est http://windows.microsoft.com/de-CH/windows/products/security-essentials , car je suis situé en Suisse. Le lien vers le package réel est alors:

http://go.microsoft.com/fwlink/?LinkID=231276

Le téléchargement n'est pas sécurisé avec HTTPS. Pourquoi? Ne serait-ce pas la première chose que Microsoft devrait faire? Ils pourraient même livrer le certificat déjà avec le système d'exploitation pour le rendre vraiment sûr.

Marcel
la source

Réponses:

15

C'est du HTTP simple car tous les logiciels Microsoft sont signés numériquement de toute façon; la signature est intégrée dans le .exefichier et vérifiée par Windows au lancement. (Il me semble que c'est une exigence pour tous les fichiers publiés dans leur centre de téléchargement.)

Contrairement à HTTPS, la signature du téléchargement réel signifie également que vous pouvez vérifier la signature partout (comme copiée à partir d'un CD ou d'un ami).

Avertissement de sécurité Détails de signature

user1686
la source
Merci de m'avoir clarifié cela. Je me sens maintenant beaucoup plus à l'aise.
Marcel
Ne commettez-vous pas l'erreur de supposer que si vous avez été attaqué MITM, vous téléchargez toujours des logiciels Microsoft? C'est en fait un bon endroit pour construire un réseau de zombies d'une certaine manière, comme je le vois.
Steinbitglis
6

La transmission via SSL ne rend pas le téléchargement plus sûr de la manière dont vous le pensez. SSL cache simplement les données que vous envoyez et recevez. Ainsi, par exemple, si vous envoyez un numéro de carte de crédit ou vous connectez sur Internet, une connexion HTTPS empêcherait tout visiteur de savoir ce que contient le contenu des données que vous avez envoyées.

La transmission d'un fichier fixe à partir d'une source cryptée ne serait, au mieux, que légèrement meilleure, car le contenu de ce que vous recevez est déjà public. Même si c'était sur HTTPS, si quelqu'un avait les données de l'endroit où vous transmettiez / receviez à / de, il pourrait toujours déduire ce que vous téléchargez.

Jeff F.
la source
4
Pas tout à fait vrai. SSL garantit également que le serveur auquel vous vous connectez a été vérifié, par une autorité de certification à laquelle vous faites confiance, pour être qui ils disent être (par exemple microsoft.com). Cela signifie que vous pouvez être relativement confiant que vous êtes réellement connecté aux serveurs de Microsoft, pas à un méchant effectuant une attaque MITM.
heavyd
1
@jeff F.: Je suis à l'aise avec quiconque sachant que je télécharge le package (je fais également de la publicité ici en superutilisateur :-)) Mais je veux être sûr que je reçois réellement ce que je cherchais, pas quelque chose autre.
Marcel
1
@Marcel Heavyd a raison sur l'attaque MITM, mais ce type d'attaque nécessite bien sûr un accès supplémentaire.
Jeff F.
5

Microsoft n'utilise pas HTTPS car vous ne téléchargez pas réellement le fichier à partir des serveurs de Microsoft. Les fichiers sont livrés à l'aide d'un serveur que Microsoft ne possède ni ne contrôle.

Le lien de téléchargement que vous avez publié n'est qu'un lien de redirection, qui sur ma machine a finalement résolu

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe 

Si vous jouez avec l'URL et que vous le faites en HTTPS, vous obtenez une erreur de certificat. Le message dans Chrome dit:

Vous avez tenté d'atteindre mse.dlservice.microsoft.com, mais vous avez en fait atteint un serveur s'identifiant comme a248.e.akamai.net.

Microsoft, comme de nombreuses autres sociétés, utilise des réseaux de distribution de contenu (CDN) pour livrer ses fichiers à l'aide d'un serveur géographiquement proche de leurs utilisateurs. Dans ce cas, Akamai est le CDN qui sert les téléchargements de Microsoft.

lourd
la source
si l'url indique microsoft.com, comment provient-elle d'une autre source?
Moab du
@Moab, Microsoft pointe vers les serveurs Akamai dans leurs entrées DNS. Lorsque vous recherchez l'entrée DNS particulière, elle contient une entrée CNAME vers les serveurs Akamai, entre autres entrées.
heavyd
4

Il n'est pas nécessaire de télécharger via HTTPS. Tous les logiciels de leur centre de téléchargement sont signés par Microsoft et authentifiés lors de l'installation.

Wessel
la source