Descargar Microsoft Security Essentials a través de HTTPS

9

Quiero descargar Microsoft Security Essentials en mi nueva PC con Windows 7. El sitio oficial que se me presenta es http://windows.microsoft.com/de-CH/windows/products/security-essentials , ya que estoy ubicado en Suiza. El enlace al paquete real es:

http://go.microsoft.com/fwlink/?LinkID=231276

La descarga no está asegurada con HTTPS. ¿Por qué? ¿No sería esto lo primero que debería hacer Microsoft? Incluso podrían entregar el certificado ya con el sistema operativo para que sea realmente seguro.

windows-7 security download https Marcel
fuente

Respuestas:

15

Es HTTP simple porque todo el software de Microsoft está firmado digitalmente de todos modos; la firma está incrustada en el .exearchivo y Windows la verifica en el lanzamiento. (Me parece recordar que este es un requisito para todos los archivos publicados en su Centro de descargas).

A diferencia de HTTPS, firmar la descarga real también significa que puede verificar la firma en todas partes (como copiada de un CD o un amigo).

Advertencia de seguridad Detalles de la firma

usuario1686
fuente
Gracias por aclararme esto. Ahora me siento mucho más cómodo.
Marcel
¿No cometes el error de suponer que si has sido atacado por MITM, todavía estás descargando el software de Microsoft? En realidad, es un punto ideal para construir una botnet de algún tipo, tal como yo lo veo.
Steinbitglis
6

La transmisión a través de SSL no hace que la descarga sea más segura de la forma en que piensa. SSL simplemente oculta los datos que está enviando y recibiendo. Entonces, por ejemplo, si está enviando un número de tarjeta de crédito o inicia sesión a través de Internet, una conexión HTTPS evitaría que cualquier espía sepa cuál es el contenido de los datos que envió.

Transmitir un archivo fijo desde una fuente encriptada solo sería, en el mejor de los casos, marginalmente mejor ya que el contenido de lo que está recibiendo ya es público. Incluso si estaba en HTTPS, si alguien tuviera los datos de dónde estaba transmitiendo / recibiendo a / de, probablemente podría deducir lo que está descargando.

Jeff F.
fuente
44
No del todo cierto. SSL también asegura que el servidor al que se está conectando ha sido verificado, por alguna Autoridad de Certificación en la que confía, para ser quienes dicen ser (por ejemplo, microsoft.com). Lo que significa que puede estar relativamente seguro de que realmente está conectado a los servidores de Microsoft, no de algún tipo malo que realiza un ataque MITM.
heavyd
1
@jeff F.: Me siento cómodo con cualquiera que sepa que estoy descargando el paquete (también estoy anunciando que aquí en superusuario :-)) Pero quiero estar seguro de que realmente recibo lo que estaba buscando, no algo más.
Marcel
1
@Marcel heavyd tiene razón sobre el ataque MITM, pero ese tipo de ataque requiere acceso adicional, por supuesto.
Jeff F.
5

Microsoft no usa HTTPS porque en realidad no está descargando el archivo de los servidores de Microsoft. Los archivos se entregan utilizando un servidor que Microsoft no posee ni controla.

El enlace de descarga que publicó es solo un enlace de redireccionamiento, que en mi máquina finalmente resolvió 

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

Si juegas con la URL y la haces HTTPS, obtienes un error de certificado. El mensaje en Chrome dice:

Intentaste llegar a mse.dlservice.microsoft.com, pero en realidad llegaste a un servidor que se identificaba como a248.e.akamai.net.

Microsoft, como muchas otras compañías, usa Content Delivery Networks (CDN) para entregar sus archivos usando un servidor que está geográficamente cerca de sus usuarios. En este caso, Akamai es el CDN que sirve las descargas de Microsoft.

pesado
fuente
si la url dice microsoft.com, ¿cómo proviene de otra fuente?
Moab
@Moab, Microsoft señala a los servidores de Akamai en sus entradas de DNS. Cuando busca la entrada DNS particular, contiene una entrada CNAME a los servidores Akamai, entre otras entradas.
heavyd
4

No hay necesidad de descargar a través de HTTPS. Todo el software en su centro de descargas está firmado por Microsoft y autenticado durante la instalación.

Wessel
fuente