ProHoster > بلوق > إدارة > يقوم Comodo بإلغاء الشهادات بدون سبب

يقوم Comodo بإلغاء الشهادات بدون سبب

هل يمكنك أن تتخيل أن شركة كبيرة ستخدع عملائها، خاصة إذا قدمت هذه الشركة نفسها كضامن للأمن؟ لذلك لم أستطع حتى وقت قريب. هذه المقالة بمثابة تحذير للتفكير مرتين قبل شراء شهادة توقيع الرمز من Comodo.

كجزء من وظيفتي (إدارة النظام)، أقوم بإعداد العديد من البرامج المفيدة التي أستخدمها بنشاط في عملي الخاص، وفي نفس الوقت أقوم بنشرها مجانًا للجميع. منذ حوالي ثلاث سنوات، كانت هناك حاجة للتوقيع على البرامج، وإلا فلن يتمكن جميع العملاء والمستخدمين من تنزيلها دون مشاكل لمجرد عدم التوقيع عليها. لقد كان التوقيع ممارسة عادية منذ فترة طويلة وبغض النظر عن مدى أمان البرنامج، ولكن إذا لم يتم التوقيع عليه، فمن المؤكد أنه سيكون هناك اهتمام متزايد به:

  1. يقوم المتصفح بجمع إحصائيات حول عدد مرات تنزيل الملف، وعندما لا يتم التوقيع عليه، في المرحلة الأولية يمكن حظره "فقط في حالة" ويتطلب تأكيدًا صريحًا من المستخدم للحفظ. تختلف الخوارزميات، وأحيانًا يعتبر المجال موثوقًا به، ولكنه بشكل عام عبارة عن توقيع صالح يؤكد الأمان.
  2. بعد التنزيل، يقوم برنامج مكافحة الفيروسات بفحص الملف مباشرة قبل بدء تشغيل نظام التشغيل نفسه. بالنسبة لبرامج مكافحة الفيروسات، يعد التوقيع مهمًا أيضًا، ويمكن رؤيته بسهولة على موقع Virustotal، أما بالنسبة لنظام التشغيل، بدءًا من Win10، فسيتم حظر الملف الذي يحتوي على شهادة تم إبطالها على الفور ولا يمكن تشغيله من Explorer. بالإضافة إلى ذلك، في بعض المؤسسات، يُحظر بشكل عام تشغيل تعليمات برمجية غير موقعة (تم تكوينها باستخدام أدوات النظام)، وهذا له ما يبرره - لقد تأكد جميع المطورين العاديين منذ فترة طويلة من إمكانية فحص برامجهم دون بذل جهد إضافي.

بشكل عام، تم اختيار الاتجاه الصحيح - إلى أقصى حد ممكن، مما يجعل الإنترنت آمنًا قدر الإمكان للمستخدمين عديمي الخبرة. ومع ذلك، فإن التنفيذ في حد ذاته لا يزال بعيدًا عن المثالية. ولا يمكن للمطور البسيط أن يحصل على شهادة ببساطة، بل يجب شراؤها من الشركات التي تحتكر هذا السوق وتفرض شروطها عليه. ولكن ماذا لو كانت البرامج مجانية؟ لا أحد يهتم. ثم يكون لدى المطور خيار - إثبات سلامة برامجه باستمرار، أو التضحية براحة المستخدمين، أو شراء شهادة. قبل ثلاث سنوات، كانت شركة StartCom، التي تعيش الآن في قاع المحيط، تحقق أرباحاً؛ ولم تكن هناك أية مشاكل معها على الإطلاق. في الوقت الحالي، يتم توفير الحد الأدنى للسعر من قبل Comodo، ولكن، كما اتضح، هناك مشكلة - بالنسبة لهم، المطور هو حرفيًا لا أحد والغش عليه هو ممارسة عادية.

بعد ما يقرب من عام من استخدام الشهادة التي اشتريتها في منتصف عام 2018، فجأة، ودون إشعار مسبق عبر البريد أو الهاتف، ألغتها كومودو دون تفسير. الدعم الفني الخاص بهم لا يعمل بشكل جيد - قد لا يستجيبون لمدة أسبوع، لكنهم ما زالوا قادرين على معرفة السبب الرئيسي - فقد اعتبروا أن الشهادة الصادرة تم توقيعها بواسطة برامج ضارة. وكان من الممكن أن تنتهي القصة عند هذا الحد، لولا شيء واحد - لم أقم بإنشاء برامج ضارة مطلقًا، وطرق الحماية الخاصة بي تسمح لي بالقول إنه من المستحيل سرقة مفتاحي الخاص. فقط Comodo لديها نسخة من المفتاح لأنها تصدرها بدون CSR. وبعد ذلك - ما يقرب من أسبوعين من المحاولات الفاشلة لمعرفة الدليل الأولي. الشركة، التي من المفترض أن تضمن الحماية الأمنية، رفضت رفضًا قاطعًا تقديم دليل على انتهاك قواعدها.

من آخر محادثة مع الدعم الفنيأنت 01:20
لقد كتبت "نحن نسعى جاهدين للرد على طلبات الدعم القياسية خلال نفس يوم العمل." لكني كنت أنتظر الرد منذ أسبوع الآن.

فينسون 01:20
مرحبًا، مرحبًا بك في التحقق من صحة Sectigo SSL!
اسمحوا لي أن أتحقق من حالة قضيتك، يرجى الانتظار لمدة دقيقة.
لقد قمت بالتحقق وتم إلغاء الطلب بسبب البرامج الضارة/الاحتيال/التصيد الاحتيالي من قبل المسؤول الأعلى لدينا.

أنت 01:28
أنا متأكد من أن هذا خطأك، لذلك أطلب الدليل.
لم يسبق لي أن تعرضت لبرامج ضارة/احتيال/تصيد احتيالي.

فينسون 01:30
أنا آسف يا ألكسندر. لقد قمت بالتحقق مرة أخرى وتم إلغاء الطلب بسبب البرامج الضارة/الاحتيال/التصيد الاحتيالي من قبل المسؤول الأعلى لدينا.

أنت 01:31
في أي ملف رأيت الفيروس؟ هل هناك رابط لفايروس توتال؟ لا أقبل إجابتك لأنه لا يوجد فيها دليل. لقد دفعت أموالاً مقابل هذه الشهادة، ومن حقي أن أعرف سبب أخذ أموالي مني بالقوة.
إذا لم تتمكن من تقديم دليل، فقد تم إلغاء الشهادة بشكل غير عادل ويجب إعادة الأموال. وإلا فما معنى عملك إذا ألغيت الشهادات دون إثبات؟

فينسون 01:34
انا اتفهم قلقك. تم الإبلاغ عن شهادة توقيع الرمز لتوزيع البرامج الضارة. وفقًا لإرشادات الصناعة: يُطلب من Sectigo باعتبارها مرجعًا مصدقًا إلغاء الشهادة.
ووفقًا لسياسة استرداد الأموال أيضًا، لن نتمكن من استرداد الأموال بعد 30 يومًا من تاريخ الإصدار.

أنت 01:35
لماذا تعتقد أن هذا ليس خطأ أو نتيجة إيجابية كاذبة؟

فينسون 01:36
أنا آسف يا ألكسندر. وفقًا لتقرير كبار المسؤولين لدينا، تم إلغاء الطلب بسبب البرامج الضارة/الاحتيال/التصيد الاحتيالي.

أنت 01:37
لا حاجة للاعتذار، لقد دفعت المال وأريد أن أرى دليلاً على أنني انتهكت قواعدك. انه سهل.
لقد دفعت لمدة ثلاث سنوات، ثم أتيت بالسبب وتركتني دون شهادة ودون دليل على ذنبي.

فينسون 01:43
انا اتفهم قلقك. تم الإبلاغ عن شهادة توقيع الرمز لتوزيع البرامج الضارة. وفقًا لإرشادات الصناعة: يُطلب من Sectigo باعتبارها مرجعًا مصدقًا إلغاء الشهادة.

أنت 01:45
يبدو أنك لا تفهم. أين رأيت المحكمة التي أصدرت الحكم بدون دليل؟ لقد فعلت ذلك بالضبط. لم يكن لدي برامج ضارة أبدًا. لماذا لا تقدم الدليل إذا كان كذلك؟ ما هو الدليل المحدد على إلغاء الشهادة؟

فينسون 01:46
أنا آسف يا ألكسندر. وفقًا لتقرير كبار المسؤولين لدينا، تم إلغاء الطلب بسبب البرامج الضارة/الاحتيال/التصيد الاحتيالي.

أنت 01:47
من يمكنني معرفة السبب الحقيقي لإلغاء الشهادة؟
إذا لم تتمكن من الرد، أخبرني بمن أتصل؟

فينسون 01:48
يرجى إرسال تذكرة مرة أخرى باستخدام الرابط أدناه حتى تتلقى الرد في أقرب وقت ممكن.
sectigo.com/support-ticket

أنت 01:48
شكرا.
هذه النتيجة ليست معزولة، فطوال وقت المفاوضات في الدردشة، في أحسن الأحوال، يجيبون على نفس الشيء، أو لا يتم الرد على التذاكر على الإطلاق، أو تكون الإجابات عديمة الفائدة تمامًا.

أقوم بإنشاء تذكرة مرة أخرىطلبي:
أحتاج إلى دليل على أنني انتهكت قاعدة أدت إلى الإلغاء. لقد اشتريت شهادة وأريد أن أعرف سبب أخذ أموالي مني.
"البرامج الضارة/الاحتيال/التصيد الاحتيالي" ليست الحل! في أي ملف رأيت الفيروس؟ هل هناك رابط لفايروس توتال؟ يرجى تقديم إثبات أو إعادة الأموال، لقد تعبت من كتابة الدعم الفني وأنا أنتظر منذ أكثر من أسبوع.
شكرا.

جوابهم:
تم الإبلاغ عن شهادة توقيع الرمز لتوزيع البرامج الضارة. وفقًا لإرشادات الصناعة: يُطلب من Sectigo باعتبارها مرجعًا مصدقًا إلغاء الشهادة.
لقد ضاع الأمل تمامًا في ألا يجيبني القرد. يظهر رسم تخطيطي مثير للاهتمام:

  1. نبيع شهادة.
  2. لقد انتظرنا أكثر من ستة أشهر حتى أنه من المستحيل فتح نزاع عبر PayPal.
  3. نحن نتذكر وننتظر الطلب التالي. ربح!

وبما أنه ليس لدي أي طرق أخرى للتأثير عليهم، فلا يسعني إلا أن أعلن احتيالهم. عند شراء شهادة من Comodo، المعروفة أيضًا باسم Sectigo، قد تواجه نفس الموقف.

تحديث 9 يونيو:
لقد أبلغت اليوم CodeSignCert (الشركة التي اشتريت الشهادة من خلالها) أنه منذ أن توقفت عن الاستجابة، قمت بعرض الموقف للمناقشة العامة من خلال رابط لهذه المقالة. وبعد مرور بعض الوقت، أرسلوا أخيرًا لقطة شاشة لـvirustotal، حيث كان تجزئة البرنامج مرئيًا ezvitUpd:
فايروس توتال - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

تقييمي للوضع:
أستطيع أن أقول بكل ثقة أن هذه نتيجة إيجابية كاذبة. علامات:

  1. التسمية عامة في معظم الحالات.
  2. لا توجد اكتشافات من قادة مكافحة الفيروسات.

من الصعب تحديد السبب الدقيق وراء رد الفعل هذا من برامج مكافحة الفيروسات، ولكن نظرًا لأن الملف قديم جدًا (تم إنشاؤه منذ عام تقريبًا)، لم يكن لدي كود المصدر للإصدار 1.6.1 محفوظ لإعادة إنشاء الملف الثنائي . ومع ذلك، لدي الإصدار الأحدث 1.6.5، ونظرًا لعدم قابلية التغيير للفرع الرئيسي، فقد تم إجراء الحد الأدنى من التغييرات هناك، ولكن لا توجد مثل هذه الإيجابيات الخاطئة:
فايروس توتال - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

تم إخطار CodeSignCert بالإيجابية الكاذبة؛ وبمجرد توفر المزيد من نتائج المفاوضات، سيتم تحديث المقالة حتى يتم حل الموقف بالكامل.

المصدر: www.habr.com

إضافة تعليق