Puderete imagine chì una grande cumpagnia ingannarà i so clienti, soprattuttu s'ellu sta cumpagnia si pone cum'è un garanti di sicurità ? Allora ùn pudia micca finu à pocu tempu. Questu articulu hè un avvisu per pensà duie volte prima di cumprà un certificatu di firma di codice da Comodo.
Cum'è parte di u mo travagliu (amministrazione di u sistema), aghju fattu diversi prugrammi utili chì aghju utilizatu attivamente in u mo propiu travagliu, è à u stessu tempu l'aghju publicatu gratuitamente per tutti. Circa trè anni fà, ci era bisognu di firmà prugrammi, altrimenti micca tutti i mo clienti è l'utilizatori puderanu scaricà senza prublemi solu perchè ùn sò micca firmati. A firma hè stata longa una pratica normale è ùn importa micca quantu hè sicuru un prugramma, ma s'ellu ùn hè micca firmatu, ci sarà certamente più attente à questu:
- U navigatore recullà statistiche nantu à quantu spessu un schedariu hè telecaricatu, è quandu ùn hè micca firmatu, in u stadiu iniziale pò ancu esse bluccatu "solo in casu" è esige una cunferma esplicita da l'utilizatore per salvà. L'algoritmi sò diffirenti, qualchì volta u duminiu hè cunsideratu di fiducia, ma in generale hè una firma valida chì cunfirma a sicurità.
- Dopu avè scaricatu, u schedariu hè guardatu da l'antivirus è immediatamente prima chì u SO stessu cumencia. Per l'antivirus, a firma hè ancu impurtante, questu pò esse facilmente vistu nantu à virustotal, è in quantu à u SO, cuminciendu cù Win10, un schedariu cù un certificatu revucatu hè immediatamente bluccatu è ùn pò micca esse lanciatu da l'Explorer. Inoltre, in certi urganisazioni hè generalmente pruibitu di eseguisce codice senza firmatu (cunfiguratu cù l'utili di u sistema), è questu hè ghjustificatu - tutti i sviluppatori normali anu longu assicuratu chì i so prugrammi ponu esse verificati senza sforzu supplementu.
In generale, a direzzione ghjusta hè stata scelta - à u puntu pussibule, facendu l'Internet u più sicuru pussibule per l'utilizatori inexperienced. Tuttavia, l'implementazione stessu hè sempre luntanu da l'ideale. Un sviluppatore simplice ùn pò micca solu ottene un certificatu; deve esse acquistatu da cumpagnie chì anu monopolizatu stu mercatu è dettanu i so termini. Ma chì si i prugrammi sò liberi? Nimu ùn importa. Allora u sviluppatore hà una scelta - per pruvà constantemente a sicurità di i so prugrammi, sacrificà a cunvenzione di l'utilizatori, o per cumprà un certificatu. Trè anni fà, StartCom, chì avà vive in u fondu di l'oceanu, era prufittuosa; ùn ci sò mai stati prublemi cun elli. À u mumentu, u prezzu minimu hè furnitu da Comodo, ma, cum'è risulta, ci hè una cattura - per elli u sviluppatore hè literalmente un nimu è ingannà nantu à ellu hè una pratica normale.
Dopu à quasi un annu di usu di u certificatu chì aghju compru à a mità di 2018, di colpu, senza avvisu previ per mail o telefonu, Comodo l'hà revocatu senza spiegazione. U so supportu tecnicu ùn funziona micca bè - ùn puderanu micca risponde per una settimana, ma anu ancu riesciutu à scopre u mutivu principale - anu cunsideratu chì u certificatu emessu era firmatu da malware. È a storia puderia esse finita quì, s'ellu ùn hè micca per una cosa - ùn aghju mai creatu malware, è i mo metudi di prutezzione permettenu di dì chì hè impussibile di arrubbari a mo chjave privata. Solu Comodo hà una copia di a chjave perchè emettenu senza CSR. E poi - quasi duie simane di tentativi senza successu per truvà a prova elementaria. A cumpagnia, chì suppostamente guarantisci a prutezzione di sicurità, hà rifiutatu di furnisce evidenza di violazione di e so regule.
Da l'ultimu chat cun supportu tecnicuTu 01:20
Avete scrittu "Struvemu di risponde à i biglietti di supportu standard in u stessu ghjornu di travagliu". ma aghju aspittatu una risposta dapoi una settimana.
Vinson 01:20
Salute, Benvenuti à Sectigo SSL Validation!
Lasciami verificà u statutu di u vostru casu, per piacè aspetta per un minutu.
Aghju verificatu è l'ordine hè statu revocatu per via di malware / fraude / phishing da u nostru ufficiale superiore.
Tu 01:28
Sò sicuru chì questu hè u vostru sbagliu, dunque dumandu a prova.
Ùn aghju mai avutu malware / fraude / phishing.
Vinson 01:30
Mi dispiace, Alexander. Aghju verificatu duie volte è l'ordine hè statu revocatu per via di malware / fraude / phishing da u nostru ufficiale superiore.
Tu 01:31
In quale schedariu avete vistu u virus? Ci hè un ligame à virustotal? Ùn aghju micca a vostra risposta perchè ùn ci hè micca prova in questu. Aghju pagatu soldi per stu certificatu è aghju u dirittu di sapè perchè i mo soldi mi sò pigliati per forza.
Se ùn pudete micca furnisce una prova, u certificatu hè statu revocatu ingiustamente è deve rinvià i soldi. Altrimenti, chì hè u significatu di u vostru travagliu s'è vo revoca certificati senza prova?
Vinson 01:34
Capiscu a vostra preoccupazione. U certificatu di signatura di codice hè statu infurmatu per a distribuzione di malware. Sicondu e linee di l'industria: Sectigo cum'è Autorità di Certificazione hè necessaria per revocà u certificatu.
Inoltre, secondu a pulitica di rimborsu, ùn pudemu micca rimbursà dopu à 30 ghjorni da a data di emissione.
Tu 01:35
Perchè pensate chì questu ùn hè micca un sbagliu o un falsu pusitivu?
Vinson 01:36
Mi dispiace, Alexander. Sicondu i nostri ufficiali superiori, l'ordine hè statu revocatu per via di malware / fraude / phishing.
Tu 01:37
Ùn ci hè bisognu di scusà, aghju pagatu i soldi è vogliu vede a prova chì aghju violatu e vostre regule. Hè simplice.
Aghju pagatu per trè anni, dopu avete vinutu cun un mutivu è m'hà lasciatu senza certificatu è senza prova di a mo culpabilità.
Vinson 01:43
Capiscu a vostra preoccupazione. U certificatu di signatura di codice hè statu infurmatu per a distribuzione di malware. Sicondu e linee di l'industria: Sectigo cum'è Autorità di Certificazione hè necessaria per revocà u certificatu.
Tu 01:45
Sembra chì ùn avete micca capitu. Induve avete vistu u tribunale chì passa a sentenza senza prova ? Avete fattu solu cusì. Ùn aghju mai avutu malware. Perchè ùn furnisce micca a prova s'ellu hè? Chì prova specifica hè una revoca di certificatu?
Vinson 01:46
Mi dispiace, Alexander. Sicondu i nostri ufficiali superiori, l'ordine hè statu revocatu per via di malware / fraude / phishing.
Tu 01:47
Quale possu sapè u veru mutivu di revocà u certificatu?
Se ùn pudete micca risponde, dimmi à quale cuntattà ?
Vinson 01:48
Per piacè mandate un bigliettu di novu utilizendu u ligame sottu per chì duvete riceve una risposta u più prestu pussibule.
Tu 01:48
Grazie.
Stu risultatu ùn hè micca isolatu, tuttu u tempu di negoziazioni in u chat, in u megliu, rispundenu a listessa cosa, i biglietti sò o micca risposti à tutti, o e risposte sò inutili.
Creu un bigliettu di novuA mo dumanda:
Aghju bisognu di prova chì aghju violatu una regula chì hà purtatu à a revoca. Aghju compru un certificatu è vogliu sapè perchè u mo soldi hè pigliatu da mè.
"malware/fraud/phishing" ùn hè micca a risposta! In quale schedariu avete vistu u virus? Ci hè un ligame à virustotal? Per piacè furnisce una prova o rinviate i soldi, sò stancu di scrive u supportu tecnicu è aghju aspittatu da più di una settimana.
Grazie.
A so risposta:
U certificatu di signatura di codice hè statu infurmatu per a distribuzione di malware. Sicondu e linee di l'industria: Sectigo cum'è Autorità di Certificazione hè necessaria per revocà u certificatu.
A speranza chì ùn hè micca a scimmia chì mi risponda hè cumplettamente persa. Emerge un diagramma interessante:
- Vendimu un certificatu.
- Avemu aspittatu per più di sei mesi in modu chì hè impussibile di apre una disputa per PayPal.
- Ricordemu è aspittemu u prossimu ordine. Prufittu !
Siccomu ùn aghju micca altri metudi di influenzallu, possu solu fà u so fraudulente publicu. Quandu compra un certificatu da Comodo, cunnisciutu ancu Sectigo, pudete truvà a stessa situazione.
Actualizazione di u 9 di ghjugnu:
Oghje aghju notificatu à CodeSignCert (a cumpagnia per mezu di quale aghju compru u certificatu) chì, postu chì anu cessatu di risponde, aghju purtatu a situazione per discussione publica cù un ligame à questu articulu. Dopu qualchì tempu, anu finalmente mandatu una screenshot di virustotal, induve l'hash di u prugramma era visibile :
VirusTotal -
A mo valutazione di a situazione:
Puderaghju cun fiducia chì questu hè un falsu pusitivu. Segni:
- Designazione Generica in a maiò parte di i casi.
- Nisuna rilevazione da i capi antivirus.
Hè difficiuli di dì ciò chì esattamente hà causatu una tale reazione da l'antivirus, ma postu chì u schedariu hè assai anticu (hè statu creatu quasi un annu fà), ùn aghju micca avutu u codice fonte di a versione 1.6.1 salvatu à ricreà u schedariu binariu. . In ogni casu, aghju l'ultima versione 1.6.5, è datu l'immutabilità di u ramu principale, cambiamenti minimi sò stati fatti quì, ma ùn ci sò micca tali falsi pusitivi:
VirusTotal -
CodeSignCert hè statu notificatu di u falsu pusitivu; una volta chì i risultati di e negoziazioni diventanu dispunibili, l'articulu serà aghjurnatu finu à chì a situazione hè cumpletamente risolta.
Source: www.habr.com