<br><br><div class="gmail_quote">On 18 June 2012 07:44, Roland Perry <span dir="ltr"><<a href="mailto:lists@internetpolicyagency.com" target="_blank">lists@internetpolicyagency.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
And here's a blog fresh off the press:<br>
<br>
<a href="http://unmitigatedrisk.com/?p=116" target="_blank">http://unmitigatedrisk.com/?p=116</a><br>
<br>
But I have one issue with the author. He writes:<br>
<br>
        I think it’s probably legitimate to use another browser to<br>
        download patches.<br></blockquote><div><br>Neither the blog or the 2 SSL test tools point out that Microsoft are stilling using SHA1 on their new certificate for signing.<br>SHA1 has been known since 2005 to be weak, and US NSA advice via NIST since 2006 has been:<br>
"Federal agencies must stop relying on digital signatures that are   generated using SHA-1 by the end of 2010."<br><br>Ref:<a href="http://csrc.nist.gov/groups/ST/hash/statement.html">http://csrc.nist.gov/groups/ST/hash/statement.html</a><br>
<br>Really everyone should be using SHA2-256 or better on all new certificates by now!<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
However:<br>
<br>
1) Microsoft has long said that you can only use their own browser to<br>
download updates (or a browser that claims to be theirs).<br>
<br>
2) Their update site no longer downloads patches. Yes, that's right. All<br>
   it has is a message saying "please use your Windows Control Panel"<br>
   [instead].<br></blockquote><div><br>Yes, as I'm sure you know the Windows Update tool runs (ActiveX) stuff to help Microsoft to try to limit updates to go only to PCs with correctly licensed Windows.<br><br><br></div>
</div><br>