Kan jy jou voorstel dat 'n groot maatskappy sy kliënte sal mislei, veral as hierdie maatskappy homself as 'n waarborg van sekuriteit posisioneer? So ek kon nie tot onlangs nie. Hierdie artikel is 'n waarskuwing om twee keer te dink voordat u 'n kodeondertekeningsertifikaat van Comodo koop.
As deel van my werk (stelseladministrasie) maak ek verskeie nuttige programme wat ek aktief in my eie werk gebruik, en plaas dit terselfdertyd gratis vir almal. Sowat drie jaar gelede was daar 'n behoefte om programme te teken, anders kon nie al my kliënte en gebruikers dit sonder probleme aflaai net omdat dit nie onderteken is nie. Teken is lankal 'n normale praktyk en maak nie saak hoe veilig 'n program is nie, maar as dit nie onderteken is nie, sal daar beslis meer aandag daaraan wees:
- Die blaaier samel statistieke in oor hoe gereeld 'n lêer afgelaai word, en wanneer dit nie onderteken is nie, kan dit in die aanvanklike stadium selfs geblokkeer word "net ingeval" en vereis 'n eksplisiete bevestiging van die gebruiker om te stoor. Die algoritmes verskil, soms word die domein as vertroud beskou, maar oor die algemeen is dit 'n geldige handtekening wat sekuriteit bevestig.
- Na die aflaai word die lêer deur die antivirus gekyk en onmiddellik voor die bedryfstelsel self begin. Vir antivirusse is die handtekening ook belangrik, dit kan maklik op virustotal gesien word, en wat die bedryfstelsel betref, begin met Win10, word 'n lêer met 'n herroepe sertifikaat onmiddellik geblokkeer en kan nie vanaf Explorer geloods word nie. Daarbenewens is dit in sommige organisasies oor die algemeen verbode om ongetekende kode uit te voer (gekonfigureer met behulp van stelselnutsgoed), en dit is geregverdig - alle normale ontwikkelaars het lankal seker gemaak dat hul programme sonder ekstra moeite nagegaan kan word.
Oor die algemeen is die regte rigting gekies – in die mate moontlik, wat die internet so veilig moontlik maak vir onervare gebruikers. Die implementering self is egter nog ver van ideaal. 'n Eenvoudige ontwikkelaar kan nie bloot 'n sertifikaat bekom nie; dit moet gekoop word van maatskappye wat hierdie mark gemonopoliseer het en hul voorwaardes daarop dikteer. Maar wat as die programme gratis is? Niemand gee om nie. Dan het die ontwikkelaar 'n keuse - om voortdurend die veiligheid van sy programme te bewys, die gerief van gebruikers op te offer, of om 'n sertifikaat te koop. Drie jaar gelede was StartCom, wat nou op die bodem van die see woon, winsgewend; daar was nog nooit enige probleme met hulle nie. Op die oomblik word die minimum prys deur Comodo verskaf, maar soos dit blyk, is daar 'n vangplek - vir hulle is die ontwikkelaar letterlik 'n niemand en om hom te verneuk is normale praktyk.
Na amper 'n jaar van die gebruik van die sertifikaat wat ek in die middel van 2018 gekoop het, het Comodo dit skielik, sonder vooraf kennisgewing per pos of telefoon, sonder verduideliking herroep. Hul tegniese ondersteuning werk nie goed nie - hulle reageer dalk vir 'n week nie, maar hulle het steeds daarin geslaag om die hoofrede uit te vind - hulle het gemeen dat die uitgereikte sertifikaat deur wanware onderteken is. En die storie kon daar geëindig het, as nie vir een ding nie - ek het nog nooit wanware geskep nie, en my eie beskermingsmetodes laat my toe om te sê dat dit onmoontlik is om my private sleutel te steel. Slegs Comodo het 'n kopie van die sleutel omdat hulle dit sonder 'n CSR uitreik. En dan - amper twee weke se onsuksesvolle pogings om die elementêre bewys uit te vind. Die maatskappy, wat kwansuis sekuriteitsbeskerming waarborg, het botweg geweier om bewyse van die oortreding van hul reëls te verskaf.
Van die laaste klets met tegniese ondersteuningJy 01:20
Jy het geskryf "Ons streef daarna om te reageer op standaard ondersteuningskaartjies binne dieselfde werksdag." maar ek wag nou al 'n week vir 'n antwoord.
Vinson 01:20
Hallo, Welkom by Sectigo SSL Validation!
Laat ek jou saakstatus nagaan, hou asseblief vir 'n minuut.
Ek het nagegaan en die bevel is herroep weens wanware/bedrog/phishing deur ons hoër amptenaar.
Jy 01:28
Ek is seker dat dit jou fout is, so ek vra vir bewyse.
Ek het nog nooit wanware/bedrog/phishing gehad nie.
Vinson 01:30
Ek is jammer, Alexander. Ek het dubbel gekontroleer en die bevel is herroep weens wanware/bedrog/phishing deur ons hoër amptenaar.
Jy 01:31
In watter lêer het jy die virus gesien? Is daar 'n skakel na virustotal? Ek aanvaar nie jou antwoord nie, want daar is geen bewyse daarin nie. Ek het geld vir hierdie sertifikaat betaal en ek het die reg om te weet hoekom my geld met geweld van my afgeneem word.
As jy nie bewys kan lewer nie, dan is die sertifikaat onbillik herroep en moet die geld teruggee. Andersins, wat is die betekenis van jou werk as jy sertifikate herroep sonder bewyse?
Vinson 01:34
Ek verstaan jou bekommernis. Die kode-ondertekeningsertifikaat is aangemeld vir die verspreiding van wanware. Soos per bedryfsriglyne: Sectigo as 'n sertifikaatowerheid word vereis om die sertifikaat te herroep.
Ook volgens terugbetalingsbeleid, sal ons nie na 30 dae vanaf die datum van uitreiking kan terugbetaal nie.
Jy 01:35
Hoekom dink jy is dit nie 'n fout of 'n vals positief nie?
Vinson 01:36
Ek is jammer, Alexander. Volgens ons hoër amptenareverslag is die bevel herroep weens wanware/bedrog/phishing.
Jy 01:37
Nie nodig om verskoning te vra nie, ek het die geld betaal en ek wil bewyse sien dat ek jou reëls oortree het. Dis eenvoudig.
Ek het vir drie jaar betaal, toe kom jy met 'n rede en los my sonder 'n sertifikaat en sonder bewys van my skuld.
Vinson 01:43
Ek verstaan jou bekommernis. Die kode-ondertekeningsertifikaat is aangemeld vir die verspreiding van wanware. Soos per bedryfsriglyne: Sectigo as 'n sertifikaatowerheid word vereis om die sertifikaat te herroep.
Jy 01:45
Dit blyk dat jy nie verstaan nie. Waar het jy die hof gesien wat die vonnis uitlê sonder bewyse? Jy het net dit gedoen. Ek het nog nooit wanware gehad nie. Hoekom lewer jy nie bewyse as dit so is nie? Watter spesifieke bewys is 'n sertifikaatherroeping?
Vinson 01:46
Ek is jammer, Alexander. Volgens ons hoër amptenareverslag is die bevel herroep weens wanware/bedrog/phishing.
Jy 01:47
Wie kan ek uitvind wat die werklike rede is om die sertifikaat te herroep?
As jy nie kan antwoord nie, sê vir my wie om te kontak?
Vinson 01:48
Dien asseblief weer 'n kaartjie in deur die onderstaande skakel te gebruik sodat jy so vroeër as moontlik 'n antwoord moet ontvang.
Jy 01:48
Dankie.
Hierdie resultaat is nie geïsoleer nie, die hele tyd van onderhandelinge in die klets, op sy beste, antwoord hulle dieselfde, kaartjies word óf glad nie beantwoord nie, óf die antwoorde is net so nutteloos.
Ek skep weer 'n kaartjieMy versoek:
Ek benodig bewys dat ek 'n reël oortree het wat tot herroeping gelei het. Ek het 'n sertifikaat gekoop en wil weet hoekom my geld van my afgeneem word.
"wanware/bedrog/phishing" is nie die antwoord nie! In watter lêer het jy die virus gesien? Is daar 'n skakel na virustotal? Verskaf asseblief bewyse of gee die geld terug, ek is moeg om tegniese ondersteuning te skryf en wag al meer as 'n week.
Dankie.
Hulle antwoord:
Die kode-ondertekeningsertifikaat is aangemeld vir die verspreiding van wanware. Soos per bedryfsriglyne: Sectigo as 'n sertifikaatowerheid word vereis om die sertifikaat te herroep.
Die hoop dat dit nie die aap is wat my sal antwoord nie, is heeltemal verlore. 'n Interessante diagram kom na vore:
- Ons verkoop 'n sertifikaat.
- Ons wag al meer as ses maande sodat dit onmoontlik is om 'n dispuut deur PayPal te open.
- Ons herroep en wag vir die volgende bestelling. Wins!
Aangesien ek geen ander metodes het om hulle te beïnvloed nie, kan ek net hul bedrog openbaar maak. Wanneer jy 'n sertifikaat van Comodo, ook bekend as Sectigo, koop, kan jy dieselfde situasie teëkom.
Opdatering 9 Junie:
Vandag het ek CodeSignCert (die maatskappy waardeur ek die sertifikaat gekoop het) in kennis gestel dat sedert hulle opgehou het om te reageer, ek die situasie vir openbare bespreking gebring het met 'n skakel na hierdie artikel. Na 'n ruk het hulle uiteindelik 'n skermskoot van virustotal gestuur, waar die program-hash sigbaar was :
VirusTotaal -
My beoordeling van die situasie:
Ek kan met vertroue sê dat dit 'n vals positief is. Tekens:
- Benaming Generies in die meeste gevalle.
- Geen bespeurings van antivirusleiers nie.
Dit is moeilik om te sê wat presies so 'n reaksie van die antivirusse veroorsaak het, maar aangesien die lêer baie verouderd is (dit is amper 'n jaar gelede geskep), het ek nie die bronkode van weergawe 1.6.1 gestoor om die lêer binêr te herskep nie. . Ek het egter die nuutste weergawe 1.6.5, en gegewe die onveranderlikheid van die hooftak, is minimale veranderinge daar aangebring, maar daar is nie sulke vals positiewes nie:
VirusTotaal -
CodeSignCert is in kennis gestel van die vals positiewe; sodra verdere resultate van die onderhandelinge beskikbaar is, sal die artikel bygewerk word totdat die situasie ten volle opgelos is.
Bron: will.com