Ma société distribue Windows Installer pour un produit basé sur serveur. Conformément aux meilleures pratiques, il est signé à l'aide d'un certificat. Conformément aux conseils de Microsoft, nous utilisons un certificat de signature de code GlobalSign , qui, selon Microsoft, est reconnu par défaut par toutes les versions de Windows Server.
Désormais, tout cela fonctionne correctement sauf si un serveur a été configuré avec la stratégie de groupe: Configuration de l'ordinateur / Modèles d'administration / Système / Gestion de la communication Internet / Paramètres de communication Internet / Désactiver la mise à jour automatique du certificat racine comme activée .
Nous avons constaté que l'un de nos premiers testeurs bêta fonctionnait avec cette configuration, ce qui a entraîné l'erreur suivante lors de l'installation.
Un fichier requis ne peut pas être installé car le fichier CAB [chemin d'accès long au fichier CAB] a une signature numérique non valide. Cela peut indiquer que le fichier CAB est corrompu.
Nous avons considéré cela comme une bizarrerie, après tout, personne n'a été en mesure d'expliquer pourquoi le système était configuré de la sorte. Cependant, maintenant que le logiciel est disponible pour une utilisation générale, il apparaît qu'un pourcentage à deux chiffres de nos clients est configuré avec ce paramètre et personne ne sait pourquoi. Beaucoup hésitent à changer les paramètres.
Nous avons écrit un article de base de connaissances pour nos clients, mais nous ne souhaitons vraiment pas que le problème se produise, car nous nous soucions réellement de l'expérience client.
Certaines choses que nous avons remarquées lors de nos recherches:
- Une nouvelle installation de Windows Server n’affiche pas le certificat Globalsign dans la liste des autorités racine approuvées.
- Avec Windows Server non connecté à Internet, l'installation de notre logiciel fonctionne correctement. À la fin de l’installation, le certificat Globalsign est présent (pas importé par nous). En arrière-plan, Windows apparaît pour l'installer de manière transparente lors de la première utilisation.
Donc, voici à nouveau ma question. Pourquoi est-il si courant de désactiver la mise à jour des certificats racine? Quels sont les effets secondaires potentiels de l'activation de nouvelles mises à jour? Je veux m'assurer que nous pouvons fournir à nos clients les conseils appropriés.