Certifikační autority vydávají seznam kompromitovaných certifikátů. Ten se do Windows distribuoval jednou za čas přes Windows Update. Aktualizace systému (KB2677070) upravuje Windows Update tak, že stahuje tento seznam mnohem častěji. Informace o zneplatněném certifikátu se tak dostane na koncovou stanici do jednoho dne. Protože se však mění kontaktní URL Windows Update, je nutné se přesvědčit, že firewall tuto funkčnost neblokuje.
Internet Explorer od verze 7 pro Windows Vista podporuje protokol OCSP, který se dotazuje, jestli je X.509 certifikát použitý během navazování SSL či TLS spojení stále platný. IIS tento protokol podporuje také. Ovšem .NET Framework při navazování zabezpečeného spojení tuto kontrolu nedělá. Proto .NET aplikace měly poměrně zastaralý CRL (seznamem neplatných certifikátů).
Windows tuto problematiku řeší centrálně přes častější dotazování Windows Update na změny v CRL. Aby vše fungovalo jak má, je potřeba se přesvědčit, že vaším firewallem projdou požadavky na tyto URL:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Článek byl sepsán pro TechNet Blog CZ/SK.