Tải xuống Microsoft Security Essentials qua HTTPS

Tôi muốn tải xuống Microsoft Security Essentials trên máy tính cá nhân Windows 7 hoàn toàn mới của tôi. Trang web chính thức được giới thiệu với tôi là http://windows.microsoft.com/de-CH/windows/products/security-essentials , như tôi đang ở Thụy Sĩ. Liên kết đến gói thực tế sau đó là:

http://go.microsoft.com/fwlink/?LinkID=231276

Việc tải xuống không được bảo mật bằng HTTPS. Tại sao? Đây sẽ không phải là điều đầu tiên Microsoft nên làm? Họ thậm chí có thể cung cấp chứng chỉ đã có với HĐH để làm cho nó thực sự an toàn.

Đó là HTTP đơn giản vì dù sao tất cả phần mềm của Microsoft đều được ký điện tử; chữ ký được nhúng trong .exetệp và được xác minh bởi Windows khi khởi chạy. (Tôi dường như nhớ rằng đây là một yêu cầu cho tất cả các tệp được đăng trong Trung tâm tải xuống của họ.)

Không giống như HTTPS, ký tải xuống thực tế cũng có nghĩa là bạn có thể kiểm tra chữ ký ở mọi nơi (chẳng hạn như được sao chép từ CD hoặc một người bạn).

Việc truyền qua SSL không làm cho việc tải xuống an toàn hơn theo cách bạn đang nghĩ. SSL chỉ đơn giản là ẩn dữ liệu mà bạn đang gửi và nhận. Vì vậy, ví dụ, nếu bạn đang gửi số thẻ tín dụng hoặc đăng nhập qua internet, kết nối HTTPS sẽ ngăn mọi người nhìn trộm biết nội dung của dữ liệu bạn đã gửi chứa gì.

Truyền một tệp cố định từ một nguồn được mã hóa, tốt nhất là, tốt hơn một chút vì nội dung của những gì bạn đang nhận được công khai. Ngay cả khi đó là trên HTTPS, nếu ai đó có dữ liệu về nơi bạn đang truyền / nhận đến / từ đó, họ vẫn có thể suy ra những gì bạn đang tải xuống.

Microsoft không sử dụng HTTPS vì bạn không thực sự tải xuống tệp từ máy chủ của Microsoft. Các tệp được phân phối bằng máy chủ mà Microsoft không sở hữu hoặc kiểm soát.

Liên kết tải xuống mà bạn đã đăng chỉ là một liên kết chuyển hướng, mà trên máy của tôi cuối cùng đã được giải quyết thành

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe 

Nếu bạn chơi với url và biến nó thành HTTPS, bạn sẽ gặp lỗi chứng chỉ. Thông báo trong Chrome cho biết:

Bạn đã cố gắng truy cập mse.dlservice.microsoft.com, nhưng thay vào đó bạn thực sự đã tiếp cận một máy chủ tự nhận là a248.e.akamai.net.

Microsoft, giống như nhiều công ty khác, sử dụng Mạng phân phối nội dung (CDN) để phân phối các tệp của mình bằng máy chủ gần với địa lý của người dùng. Trong trường hợp này, Akamai là CDN đang phục vụ tải xuống của Microsoft.

Không cần tải xuống qua HTTPS. Tất cả phần mềm trên trung tâm tải xuống của họ được Microsoft ký và xác thực trong quá trình cài đặt.

Nếu bạn đã cài đặt Firefox hoặc Chrome, bạn có thể thử tải xuống từ Microsoft với plugin HTTPS Everywhere này cho các trình duyệt đó. https://www.eff.org/https-everywhere