![\"Update\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" "\\"Update\\"")
[English]Es geschehen noch Zeichen und Wunder – zum 1. April 2022 (kein April-Scherz) scheint Microsoft sein Download-Angebot f\u00fcr Updates endlich so angepasst zu haben, dass diese durchg\u00e4ngig \u00fcber das https-Protokoll durchgef\u00fchrt werden. Hier eine kurze \u00dcbersicht \u00fcber den Sachverhalt.<\/p>\n
<\/p>\n
Blog-Leser Bolko: Microsoft setzt beim Update-Catalog auf HTTP statt HTTPS und da meckert dann Chromum und weigert sich. Da sollte Microsoft mal nachbessern und auf HTTPS-Downloads umstellen.<\/p>\n G\u00fcnter Born: Das ist schon vor Jahren von Stefan Kanthak kritisiert worden \u2013 Microsoft kennt das Problem. Da laufen teilweise wilde Umleitungen \u2013 aber nicht immer.<\/p><\/blockquote>\n Und im Diskussionsbereich des Blogs gab es zum 29. September 2021 die denkw\u00fcrdige Diskussion:<\/p>\n Anonymous: der neue MS Edge (v94) blockiert jetzt MSU Downloads vom *https:\/\/www.catalog.update.microsoft.com\/ G. Born: Dann hat es Microsoft also endlich erwischt. Stefan Kanthak haut mir seit Jahren die http-Links, die ich aus den Supportbeitr\u00e4gen f\u00fcr Updates herauskopiere, um die Ohren.<\/p><\/blockquote>\n Lange Lese, kurzer Sinn: Es w\u00e4re l\u00e4ngst an der Zeit gewesen, dass Microsoft den Download seiner Update-Pakete durchg\u00e4ngig auf das https-Protokoll umstellt, um Konsistenz und Sicherheit zu erh\u00f6hen.<\/p>\n Bez\u00fcglich Sicherheit: Ja, die Update-Pakete sind mit einem SHA-Schl\u00fcssel und einer digitalen Signatur versehen, und so vor Manipulation gesch\u00fctzt. Inzwischen machen die meisten Browser aber bei http-Adressen Probleme und die obigen Kommentare zeigen das auf. Auf Twitter sind mir auch die nachfolgenden zwei Fundsplitter mit dem gleichen Tenor auf die F\u00fc\u00dfe gefallen. Selbst Martin Geu\u00df f\u00fchlte sich im Januar 2022 bem\u00fc\u00dfigt, WindowsUpdate auf Englisch \u00fcber dieses Problem zu informieren.<\/p><\/blockquote>\n Am heutigen Samstag-Morgen (2.4.2022) w\u00e4re mich fast der Kaffee aus dem Gesicht gefallen, als ich bei den Kollegen von deskmodder.de auf diese Meldung<\/a> und nachfolgenden Tweet<\/a> gesto\u00dfen bin. Ein Blog-Leser hat im Blog-Beitrag Probleme mit dem Microsoft Update Catalog<\/a> ebenfalls auf diese Meldung hingewiesen<\/a> (danke daf\u00fcr).<\/p>\n Zum Sachverhalt: Der ist ziemlich schn\u00f6de – man sollte seit dem 1. April 2022 alle Update-Downloads von den Update-Servern und aus dem Microsoft Update Catalog<\/a> durchg\u00e4ngig \u00fcber das https-Protokoll erhalten. F\u00fcr Downloads aus dem Microsoft Update Catalog gelten dann URLs mit dem Schema:<\/p>\n *https:\/\/catalog.s.download.windowsupdate.com\/c\/msdownload\/update<\/p>\n statt der alten Nomenklatur:<\/p>\n *http:\/\/download.windowsupdate.com\/d\/msdownload\/update\/<\/p>\nSeit Jahren wird von Google & Co. propagiert, dass die Kommunikation mit Webseiten doch bitte \u00fcber das https-Protokoll erfolgen m\u00f6ge, damit die Integrit\u00e4t der Kommunikation \u00fcber die Verschl\u00fcsselung gew\u00e4hrleistet und die Server \u00fcber SSL-Zertifikate ausgewiesen wird. Bei Microsoft war es aber seit vielen Jahren so, dass Downloads von Update-Paketen \u00fcber das unverschl\u00fcsselte http-Protokoll abgerufen – oder zumindest zum Download angesto\u00dfen – werden mussten. Ich verlinke mal auf diese Diskussion<\/a> hier im Blog:<\/p>\n
\nMit Firefox kann man hingegen \"Weiter mit HTTP\" anklicken.<\/p>\n
\nda die Downloadslinks nur \"http\" sind *LOL*<\/p>\n![\"MS](\"https:\/\/i.imgur.com\/z78251o.png\" "\\"MS")
<\/a><\/p>\n![\"MS](\"https:\/\/i.imgur.com\/tCWgeUP.png\" "\\"MS")
<\/a><\/p>\nEs wurde wohl umgestellt<\/h2>\n
![\"Microsoft's](\"https:\/\/i.imgur.com\/AD2UCDJ.png\" "\\"Microsoft's")
<\/a><\/p>\n