En cette période de faille sur l’utilisation de OpenSSL, certains pourraient s’inquiéter de voir une erreur de certificat sur l’une des adresses qui pourrait être utilisée pour le téléchargement des correctifs Microsoft ; à savoir https://download.microsoft.com

Cette erreur est attendue car Microsoft recourt à des fournisseurs dits “Content delivery network” ou CDN. Ces fournisseurs tels que Akamai Technologies ne peuvent pas utiliser les certificats de Microsoft sur leurs propres serveurs. Par conséquent, Microsoft déconseille de tenter d’utiliser une connexion sécurisée pour aller sur https://download.microsoft.com mais d’utiliser http://download.microsoft.com.

À partir du moment où le serveur à partir duquel sont téléchargées les mises à jour n’est pas sécurisé, il est possible de se poser la question de l’intégrité de ce qui est téléchargé. Le mode de sécurisation des données téléchargées est fondée sur la signature du fichier de description des mises à jour (wsusscn2.cab) dans lequel figurent les signatures (hash) des mises à jour. Lorsque le client tente d’installer une mise à jour, celle-ci est confronté à la connaissance qu’il a de la signature de chaque mise à jour. Ainsi, n’est-il pas possible d’installer une mise à jour Microsoft qui ne serait pas intègre.