Wireshark rapporte que HTTPS est désactivé pour Windows Update. Comment activer HTTPS pour Windows Update ?
Un extrait de la documentation de Microsoft :
Quelle que soit la manière dont le contenu est livré, une fois téléchargé, il est correctement validé. Le contenu est validé pour la confiance, l’intégrité et l’intention en utilisant diverses techniques telles que la validation de signature numérique et les vérifications de hash de fichiers. Ce niveau de validation du contenu fournit encore plus de couches de sécurité que TLS seul.
Quant à la raison pour laquelle Microsoft a choisi cette méthode :
Les téléchargements sont répartis via des réseaux de diffusion de contenu (CDN), donc utiliser TLS briserait leur chaîne de garde Microsoft. Parce qu’une connexion TLS vers un CDN de mise en cache se termine au CDN, pas chez Microsoft, les certificats TLS ne sont pas spécifiques à Microsoft. Cela signifie que le client WU ne peut pas prouver la fiabilité du CDN car Microsoft ne contrôle pas les certificats TLS du CDN. De plus, une connexion TLS à un CDN ne prouve pas que le contenu n’a pas été manipulé au sein du réseau de mise en cache du CDN. Par conséquent, TLS n’offre aucune des garanties de sécurité au workflow Windows Update de bout en bout qu’il fournit autrement.
En résumé : Microsoft ne se soucie pas de HTTPS car Windows effectue sa propre vérification de bout en bout du téléchargement, et comme HTTPS ne ferait que vous connecter au CDN tiers, cela n’aide pas à vérifier l’authenticité des mises à jour.