Могли ли вы представить себе, что крупная компания будет заниматься обманом своих клиентов, особенно если эта компания позиционирует себя гарантом безопасности? Вот и я не мог до недавнего времени. Эта статья — предостережение, чтобы вы сначала десять раз подумали, перед тем как покупать сертификат для подписи кода у Comodo.
По долгу своей работы (системное администрирование) я делаю разные полезные программы, которые активно использую в своей же работе, а заодно бесплатно выкладываю для всех желающих. Около трёх лет назад назрела необходимость подписывать программы, иначе не все мои клиенты и пользователи могли без проблем загружать их только из-за того, что они не подписаны. Уже давно подпись является нормальной практикой и не важно, насколько безопасна программа, но если она не подписана, к ней обязательно будет повышенное внимание:
- Браузер собирает статистику, как часто загружается файл, и когда он не подписан, то на начальном этапе он может даже блокироваться «на всякий случай» и требовать от пользователя явное подтверждение на сохранение. Алгоритмы бывают разные, иногда и домен считается доверенным, но в целом именно валидная подпись является подтверждением безопасности.
- После загрузки файл смотрит антивирус и непосредственно перед запуском сама ОС. Для антивирусов подпись тоже является немаловажной, это легко проследить на virustotal, а что касается ОС, начиная с Win10 файл с отозванным сертификатом сразу блокируется и его нельзя запустить из проводника. К тому же, в некоторых организациях вообще запрещён запуск неподписанного кода (настраивается средствами системы), и это оправданно — все нормальные разработчики давно позаботились о том, чтобы их программы можно было проверить без дополнительных усилий.
В целом, направление выбрано правильное — по мере возможностей делать интернет как можно более безопасным для неопытных пользователей. Однако сама реализация пока далека от идеала. Простой разработчик не может просто получить сертификат, его нужно покупать у компаний, которые монополизировали этот рынок и диктуют на нём свои условия. Но что если программы бесплатные? Это никого не волнует. Тогда у разработчика появляется выбор — постоянно доказывать безопасность своих программ, жертвуя удобством пользователей, или покупать сертификат. Три года назад выгодным был StartCom, который сейчас обитает на дне океана, с ними никогда не было проблем. На данный момент минимальную цену предоставляет Comodo, но, как оказалось, есть подвох — для них разработчик буквально никто и кинуть его — нормальная практика.
Спустя почти год использования сертификата, который я покупал в середине 2018-го, внезапно, без предварительного уведомления по почте или телефону, Comodo отозвала его без объяснения причин. Техподдержка у них работает плохо — могут не отвечать неделю, однако основную причину всё же удалось узнать — они посчитали, что выданным сертификатом было подписано вредоносное ПО. И на том историю можно было бы заканчивать, если бы не одно но — я никогда не создавал вредоносное ПО, а собственные методы защиты позволяют утверждать, что и украсть закрытый ключ у меня невозможно. Копия ключа есть только у Comodo, потому что они выдают их без CSR. А дальше — почти две недели безуспешных попыток узнать элементарное доказательство. Компания, которая якобы гарантирует защиту в сфере безопасности, наотрез отказалась предоставлять доказательство нарушения их правил.
Из последнего чата с техподдержкойYou 01:20
You have written «We strive to respond to standard support tickets within the same business day.» but I have been waiting for a response for a week now.
Vinson 01:20
Hi, Welcome to Sectigo SSL Validation!
Let me check your case status, please hold on for a minute.
I have checked and the order has been revoked due to malware/fraud/phishing by our higher official.
You 01:28
I am sure that this is your mistake, so I ask for proof.
I’ve never had malware/fraud/phishing.
Vinson 01:30
I am sorry, Alexander. I have double checked and the order has been revoked due to malware/fraud/phishing by our higher official.
You 01:31
In which file did you see the virus? Is there a link to virustotal? I do not accept your answer because there is no proof in it. I paid money for this certificate and I have the right to know why my money is taken from me by force.
If you can not provide proof, then the certificate was revoked unfairly and must return the money. Otherwise, what is the meaning of your work if you revoke certificates without proof?
Vinson 01:34
I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.
Also as per refund policy, we will not be able to refund after 30 days from date of issuance.
You 01:35
Why do you think this is not a mistake or a false positive?
Vinson 01:36
I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.
You 01:37
No need to apologize, I paid the money and I want to see proof that I violated your rules. It’s simple.
I paid for three years, then you came up with a reason and left me without a certificate and without proof of my guilt.
Vinson 01:43
I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.
You 01:45
It seems that you do not understand. Where did you see the court that passes the sentence without proof? You did just that. I have never had malware. Why do you not provide proof if it is? What specific proof is a certificate revocation?
Vinson 01:46
I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.
You 01:47
Who can I find out the real reason for revoking the certificate?
If you can not answer, tell me who to contact?
Vinson 01:48
Please submit a ticket again using the below link so that you should receive a response as earlier as possible.
You 01:48
Thank you.
Такой результат не единичный, всё время переговоров в чате в лучшем случае отвечают одно и то же, на тикеты либо не отвечают совсем, либо ответы настолько же бесполезные.
Снова создаю тикетМой запрос:
I require proof that I violated a rule that led to revocation. I bought a certificate and want to know why my money is taken from me.
«malware/fraud/phishing» is not the answer! In which file did you see the virus? Is there a link to virustotal? Please provide proof or return the money, I’m tired of writing technical support and have been waiting for more than a week.
Thank you.
Их ответ:
The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.
Надежда на то, что мне ответит не обезьяна, окончательно пропадает. Интересная вырисовывается схема:
- Продаём сертификат.
- Ждём больше полугода, чтобы через PayPal нельзя было открыть спор.
- Отзываем и ждём следующий заказ. Профит!
Поскольку у меня нет на них других методов воздействия, я могу только предать их мошенничество огласке. Покупая сертификат у Comodo, они же Sectigo, вы можете столкнуться с такой же ситуацией.
Обновление от 9 июня:
Сегодня я уведомил CodeSignCert (компанию, через которую покупал сертификат) о том, что поскольку они перестали отвечать, то вынес ситуацию на публичное обсуждение со ссылкой на эту статью. Через некоторое время они наконец-то прислали скриншот virustotal, где был виден хеш программы
VirusTotal —
Моя оценка ситуации:
С уверенностью могу сказать, что это ложное срабатывание. Признаки:
- Обозначение Generic в большинстве срабатываний.
- Отсутствие срабатываний у антивирусных лидеров.
Сложно сказать, что именно вызвало такую реакцию антивирусов, но так как файл сильно устарел (был создан почти год назад), то у меня не сохранился исходник версии 1.6.1, чтобы бинарно воссоздать файл. Однако у меня есть последняя версия 1.6.5, и учитывая неизменность основной ветки, изменения там вносились минимальные, но на неё нет такого ложного срабатывания:
VirusTotal —
CodeSignCert уведомлен о ложном срабатывании, после появления дальнейших результатов переговоров статья будет обновляться до полного решения ситуации.
Источник: habr.com