Mahunahuna ba nimo nga ang usa ka dako nga kompanya maglimbong sa mga kostumer niini, labi na kung kini nga kompanya nagbutang sa kaugalingon ingon usa ka garantiya sa seguridad? Mao nga dili nako mahimo hangtod karon. Kini nga artikulo usa ka pasidaan nga maghunahuna kaduha sa dili pa mopalit usa ka sertipiko sa pagpirma sa code gikan sa Comodo.
Isip kabahin sa akong trabaho (system administration), naghimo ko og lain-laing mapuslanong mga programa nga aktibo nakong gigamit sa akong kaugalingong trabaho, ug sa samang higayon gi-post ko kini nga libre para sa tanan. Mga tulo ka tuig na ang milabay, adunay panginahanglan sa pagpirma sa mga programa, kung dili ang tanan sa akong mga kliyente ug tiggamit maka-download niini nga walay mga problema tungod lang kay wala sila gipirmahan. Ang pagpirma dugay na nga normal nga praktis ug bisan unsa pa ka luwas ang usa ka programa, apan kung dili kini pirmahan, sigurado nga madugangan ang atensyon niini:
- Ang browser nagkolekta sa mga estadistika kung unsa ka subsob ang pag-download sa usa ka file, ug kung wala kini gipirmahan, sa inisyal nga yugto mahimo pa kini nga ma-block "kung kaso" ug nanginahanglan usa ka klaro nga kumpirmasyon gikan sa tiggamit aron makatipig. Ang mga algorithm lahi, usahay ang domain giisip nga kasaligan, apan sa kinatibuk-an kini usa ka balido nga pirma nga nagpamatuod sa seguridad.
- Pagkahuman sa pag-download, ang file gitan-aw sa antivirus ug dayon sa wala pa magsugod ang OS mismo. Alang sa mga antivirus, hinungdanon usab ang pirma, dali kini makita sa virustotal, ug alang sa OS, sugod sa Win10, ang usa ka file nga adunay gibawi nga sertipiko dali nga gibabagan ug dili malansad gikan sa Explorer. Dugang pa, sa pipila ka mga organisasyon kini sa kasagaran gidid-an sa pagpadagan sa unsigned code (gi-configure gamit ang mga himan sa sistema), ug kini gipakamatarung - ang tanan nga normal nga mga developers dugay nang nagsiguro nga ang ilang mga programa mahimong masusi nga walay dugang nga paningkamot.
Sa kinatibuk-an, ang husto nga direksyon gipili - kutob sa mahimo, nga naghimo sa Internet nga luwas kutob sa mahimo alang sa mga walay kasinatian nga tiggamit. Bisan pa, ang pagpatuman mismo layo pa sa sulundon. Ang usa ka yano nga developer dili lamang makakuha usa ka sertipiko; kini kinahanglan nga mapalit gikan sa mga kompanya nga nagmonopolyo niini nga merkado ug nagdiktar sa ilang mga termino bahin niini. Apan komosta kung libre ang mga programa? Walay nagpakabana. Unya ang developer adunay usa ka pagpili - sa kanunay nga pagpamatuod sa kaluwasan sa iyang mga programa, pagsakripisyo sa kasayon sa mga tiggamit, o sa pagpalit sa usa ka certificate. Tulo ka tuig ang milabay, ang StartCom, nga karon nagpuyo sa ilawom sa dagat, nakaganansya; wala’y bisan unsang problema sa kanila. Sa pagkakaron, ang minimum nga presyo gihatag sa Comodo, apan, ingon nga kini nahimo, adunay usa ka catch - alang kanila ang developer literal nga walay bisan kinsa ug ang pagpanglimbong kaniya normal nga praktis.
Pagkahuman sa hapit usa ka tuig nga paggamit sa sertipiko nga akong gipalit sa tungatunga sa 2018, sa kalit, nga wala’y una nga pahibalo pinaagi sa koreo o telepono, gibawi kini ni Comodo nga wala’y katin-awan. Dili maayo ang ilang teknikal nga suporta - tingali dili sila motubag sulod sa usa ka semana, apan nakahimo gihapon sila sa pagpangita sa pangunang rason - giisip nila nga ang gi-isyu nga sertipiko gipirmahan sa malware. Ug ang istorya mahimo’g matapos didto, kung dili alang sa usa ka butang - wala pa ako nakamugna og malware, ug ang akong kaugalingon nga mga pamaagi sa pagpanalipod nagtugot kanako sa pag-ingon nga imposible nga kawaton ang akong pribadong yawe. Ang Comodo ra ang adunay kopya sa yawe tungod kay gi-issue nila kini nga wala’y CSR. Ug unya - hapit duha ka semana nga wala molampos nga pagsulay aron mahibal-an ang elementarya nga pruweba. Ang kompanya, nga kuno naggarantiya sa proteksyon sa seguridad, hingpit nga nagdumili paghatag ebidensya sa paglapas sa ilang mga lagda.
Gikan sa katapusang chat uban sa teknikal nga suportaIkaw 01:20
Gisulat nimo ang "Kami naningkamot sa pagtubag sa mga standard nga tiket sa suporta sulod sa samang adlaw sa negosyo." pero naghuwat kog tubag sulod na sa usa ka semana.
Vinson 01:20
Kumusta, Welcome sa Sectigo SSL Validation!
Tugoti ako nga susihon ang kahimtang sa imong kaso, palihug paghulat usa ka minuto.
Akong gisusi ug gibawi ang order tungod sa malware/fraud/phishing sa among labaw nga opisyal.
Ikaw 01:28
Sigurado ako nga kini ang imong sayup, busa nangayo ako og pruweba.
Wala pa koy malware/fraud/phishing.
Vinson 01:30
Pasayloa ko, Alexander. Gi-double check nako ug gibawi ang order tungod sa malware/fraud/phishing sa among mas taas nga opisyal.
Ikaw 01:31
Asa nga file nakita nimo ang virus? Naa bay link sa virustotal? Dili nako dawaton ang imong tubag kay walay ebidensya niini. Nagbayad ako og kwarta alang niini nga sertipiko ug ako adunay katungod nga mahibal-an kung ngano nga ang akong salapi gikuha gikan kanako pinaagi sa kusog.
Kung dili ka makahatag og pruweba, nan ang sertipiko gibawi nga dili patas ug kinahanglan ibalik ang kwarta. Kung dili, unsa ang kahulugan sa imong trabaho kung imong gibawi ang mga sertipiko nga wala’y ebidensya?
Vinson 01:34
Nakasabot ko sa imong kabalaka. Ang sertipiko sa pagpirma sa code gitaho alang sa pag-apod-apod sa malware. Sumala sa mga sumbanan sa industriya: Ang Sectigo isip Awtoridad sa Sertipiko gikinahanglan nga bawion ang sertipiko.
Ingon usab sa polisiya sa refund, dili kami maka-refund pagkahuman sa 30 ka adlaw gikan sa petsa sa isyu.
Ikaw 01:35
Ngano sa imong hunahuna nga kini dili usa ka sayup o usa ka sayup nga positibo?
Vinson 01:36
Pasayloa ko, Alexander. Sumala sa taho sa among mas taas nga mga opisyal, ang order gibawi tungod sa malware/fraud/phishing.
Ikaw 01:37
Dili kinahanglan nga mangayo og pasaylo, gibayran nako ang kuwarta ug gusto nako nga makakita og pruweba nga nakalapas ako sa imong mga lagda. Yano ra.
Nagbayad ko ug tulo ka tuig, unya nakahatag ka ug rason ug gibiyaan ako nga walay sertipiko ug walay ebidensya sa akong sala.
Vinson 01:43
Nakasabot ko sa imong kabalaka. Ang sertipiko sa pagpirma sa code gitaho alang sa pag-apod-apod sa malware. Sumala sa mga sumbanan sa industriya: Ang Sectigo isip Awtoridad sa Sertipiko gikinahanglan nga bawion ang sertipiko.
Ikaw 01:45
Murag wala ka kasabot. Asa nimo nakita ang korte nga nagpasa sa sentensiya nga walay ebidensya? Gibuhat ra nimo kana. Wala pa koy malware. Nganong dili man ka mohatag og pruweba kung mao man? Unsang espesipikong pamatuod ang pagbawi sa sertipiko?
Vinson 01:46
Pasayloa ko, Alexander. Sumala sa taho sa among mas taas nga mga opisyal, ang order gibawi tungod sa malware/fraud/phishing.
Ikaw 01:47
Kinsa ang akong mahibal-an ang tinuod nga hinungdan sa pagbawi sa sertipiko?
Kung dili ka makatubag, isulti kanako kung kinsa ang akong kontakon?
Vinson 01:48
Palihug pagsumite usa ka tiket pag-usab gamit ang link sa ubos aron makadawat ka usa ka tubag sa sayo pa kutob sa mahimo.
Ikaw 01:48
Salamat.
Kini nga resulta dili nahimulag, sa tanang panahon sa mga negosasyon sa chat, sa labing maayo, sila motubag sa sama nga butang, ang mga tiket dili matubag sa tanan, o ang mga tubag sama ra nga walay kapuslanan.
Naghimo na usab ako og tiketAkong hangyo:
Nanginahanglan ko og pruweba nga nakalapas ko sa lagda nga misangpot sa pagbawi. Mipalit kog sertipiko ug gusto kong makahibalo nganong gikuha ang akong kuwarta gikan kanako.
"malware/fraud/phishing" dili ang tubag! Asa nga file nakita nimo ang virus? Naa bay link sa virustotal? Palihug paghatag og pruweba o iuli ang kwarta, gikapoy ko sa pagsulat sa teknikal nga suporta ug naghulat sa sobra sa usa ka semana.
Salamat.
Ang ilang tubag:
Ang sertipiko sa pagpirma sa code gitaho alang sa pag-apod-apod sa malware. Sumala sa mga sumbanan sa industriya: Ang Sectigo isip Awtoridad sa Sertipiko gikinahanglan nga bawion ang sertipiko.
Ang paglaum nga dili ang unggoy ang motubag kanako hingpit nga nawala. Usa ka makapaikag nga diagram mitungha:
- Nagbaligya kami og sertipiko.
- Naghulat kami sobra sa unom ka bulan aron imposible nga maablihan ang usa ka panaglalis pinaagi sa PayPal.
- Kami nagpahinumdom ug nagpaabot sa sunod nga order. Kita!
Kay wa man koy laing pamaagi sa pag-impluwensya nila, mahimo ra nako nga ipahibalo sa publiko ang ilang pagpanglimbong. Kung nagpalit ug sertipiko gikan sa Comodo, nailhan usab nga Sectigo, mahimo nimong masugatan ang parehas nga kahimtang.
Pag-update sa Hunyo 9:
Karon gipahibalo nako ang CodeSignCert (ang kompanya diin gipalit nako ang sertipiko) nga tungod kay mihunong sila sa pagtubag, akong gidala ang sitwasyon alang sa diskusyon sa publiko nga adunay link sa kini nga artikulo. Human sa pipila ka mga panahon, sila sa katapusan nagpadala sa usa ka screenshot sa virustotal, diin ang programa hash makita :
VirusTotal -
Akong assessment sa sitwasyon:
Makaingon ko uban ang pagsalig nga kini usa ka bakak nga positibo. Mga timailhan:
- Pagtawag Generic sa kadaghanan sa mga kaso.
- Wala’y nakit-an gikan sa mga lider sa antivirus.
Lisud isulti kung unsa gyud ang hinungdan sa ingon nga reaksyon gikan sa mga antivirus, apan tungod kay ang file karaan na kaayo (gibuhat kini hapit usa ka tuig ang milabay), wala nako ang gigikanan nga code sa bersyon 1.6.1 nga gitipig sa binary recreate ang file. . Bisan pa, ako adunay labing bag-o nga bersyon 1.6.5, ug gihatagan ang pagkadili mabag-o sa panguna nga sanga, gamay nga pagbag-o ang gihimo didto, apan wala’y ingon nga sayup nga mga positibo:
VirusTotal -
Ang CodeSignCert gipahibalo sa bakak nga positibo; sa higayon nga ang dugang nga mga resulta sa mga negosasyon mahimong magamit, ang artikulo ma-update hangtud nga ang sitwasyon hingpit nga masulbad.
Source: www.habr.com