Können Sie sich vorstellen, dass ein großes Unternehmen seine Kunden täuscht, insbesondere wenn dieses Unternehmen sich als Garant für Sicherheit positioniert? Also konnte ich es bis vor Kurzem nicht. Dieser Artikel ist eine Warnung, die Sie dazu anregen soll, zehn Mal nachzudenken, bevor Sie ein Codesignaturzertifikat von Comodo kaufen.
Im Rahmen meines Jobs (Systemadministration) erstelle ich verschiedene nützliche Programme, die ich aktiv in meiner eigenen Arbeit nutze, und stelle sie gleichzeitig kostenlos für alle zur Verfügung. Vor etwa drei Jahren bestand die Notwendigkeit, Programme zu signieren, da sie sonst nicht alle meine Kunden und Benutzer problemlos herunterladen könnten, nur weil sie nicht signiert waren. Das Signieren ist seit langem eine gängige Praxis und egal wie sicher ein Programm ist, wenn es nicht signiert ist, wird ihm auf jeden Fall mehr Aufmerksamkeit geschenkt:
- Der Browser sammelt Statistiken darüber, wie oft eine Datei heruntergeladen wird, und wenn sie nicht signiert ist, kann sie in der Anfangsphase sogar „für alle Fälle“ blockiert werden und zum Speichern eine ausdrückliche Bestätigung des Benutzers erfordern. Die Algorithmen sind unterschiedlich, manchmal gilt die Domäne als vertrauenswürdig, aber im Allgemeinen ist es eine gültige Signatur, die die Sicherheit bestätigt.
- Nach dem Herunterladen wird die Datei vom Antivirenprogramm überprüft und unmittelbar vor dem Start des Betriebssystems. Bei Antivirenprogrammen ist auch die Signatur wichtig, diese ist auf virustotal leicht zu erkennen, und beim Betriebssystem wird ab Win10 eine Datei mit einem widerrufenen Zertifikat sofort blockiert und kann nicht über den Explorer gestartet werden. Darüber hinaus ist es in manchen Organisationen generell verboten, unsignierten (mit Systemtools konfigurierten) Code auszuführen, und das hat seine Berechtigung – alle normalen Entwickler achten längst darauf, dass ihre Programme ohne zusätzlichen Aufwand überprüft werden können.
Generell ist die richtige Richtung eingeschlagen – das Internet so weit wie möglich für unerfahrene Nutzer so sicher wie möglich zu machen. Allerdings ist die Umsetzung selbst noch alles andere als ideal. Ein einfacher Entwickler kann nicht einfach ein Zertifikat erhalten; es muss von Unternehmen erworben werden, die diesen Markt monopolisiert haben und ihm ihre Bedingungen diktieren. Was aber, wenn die Programme kostenlos sind? Niemanden interessierts. Dann hat der Entwickler die Wahl, die Sicherheit seiner Programme ständig zu beweisen und dabei auf den Komfort der Benutzer zu verzichten oder ein Zertifikat zu kaufen. Vor drei Jahren war StartCom, das heute auf dem Meeresgrund lebt, profitabel, es gab nie Probleme damit. Im Moment wird der Mindestpreis von Comodo bereitgestellt, aber wie sich herausstellt, gibt es einen Haken: Für sie ist der Entwickler buchstäblich ein Niemand und es ist normale Praxis, ihn zu betrügen.
Nachdem ich das Mitte 2018 erworbene Zertifikat fast ein Jahr lang verwendet hatte, widerrief Comodo es plötzlich und ohne vorherige Ankündigung per Post oder Telefon ohne Angabe von Gründen. Ihr technischer Support funktioniert nicht gut – sie antworten möglicherweise eine Woche lang nicht, konnten aber dennoch den Hauptgrund herausfinden – sie gingen davon aus, dass das ausgestellte Zertifikat mit Malware signiert war. Und die Geschichte hätte dort enden können, wenn nicht eines gewesen wäre: Ich habe noch nie Malware erstellt und meine eigenen Schutzmethoden lassen mich sagen, dass es unmöglich ist, meinen privaten Schlüssel zu stehlen. Nur Comodo verfügt über eine Kopie des Schlüssels, da dieser ohne CSR ausgestellt wird. Und dann – fast zwei Wochen erfolgloser Versuche, den elementaren Beweis herauszufinden. Das Unternehmen, das angeblich den Sicherheitsschutz gewährleistet, weigerte sich rundweg, Beweise für einen Verstoß gegen seine Regeln vorzulegen.
Aus dem letzten Chat mit dem technischen SupportSie 01:20
Sie haben geschrieben: „Wir bemühen uns, auf Standard-Support-Tickets noch am selben Werktag zu antworten.“ aber ich warte jetzt schon seit einer Woche auf eine Antwort.
Vinson 01:20
Hallo, willkommen bei Sectigo SSL Validation!
Lassen Sie mich Ihren Fallstatus überprüfen. Bitte warten Sie einen Moment.
Ich habe es überprüft und die Bestellung wurde aufgrund von Malware/Betrug/Phishing durch unseren Vorgesetzten widerrufen.
Sie 01:28
Ich bin mir sicher, dass das Ihr Fehler ist, deshalb bitte ich um einen Beweis.
Ich hatte noch nie Malware/Betrug/Phishing.
Vinson 01:30
Es tut mir leid, Alexander. Ich habe es noch einmal überprüft und die Bestellung wurde von unserem Vorgesetzten aufgrund von Malware/Betrug/Phishing widerrufen.
Sie 01:31
In welcher Datei haben Sie den Virus gesehen? Gibt es einen Link zu virustotal? Ich akzeptiere Ihre Antwort nicht, da sie keinen Beweis enthält. Ich habe Geld für dieses Zertifikat bezahlt und ich habe das Recht zu erfahren, warum mir mein Geld gewaltsam weggenommen wird.
Wenn Sie keinen Nachweis erbringen können, wurde das Zertifikat zu Unrecht widerrufen und Sie müssen das Geld zurückerstatten. Was hat Ihre Arbeit sonst für einen Sinn, wenn Sie Zertifikate ohne Nachweis widerrufen?
Vinson 01:34
Ich verstehe deine Bedenken. Es wurde gemeldet, dass das Codesignaturzertifikat Malware verbreitet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle ist verpflichtet, das Zertifikat zu widerrufen.
Außerdem können wir gemäß den Rückerstattungsrichtlinien 30 Tage nach dem Ausstellungsdatum keine Rückerstattung mehr leisten.
Sie 01:35
Warum denken Sie, dass dies kein Fehler oder falsch positives Ergebnis ist?
Vinson 01:36
Es tut mir leid, Alexander. Laut dem Bericht unserer höheren Beamten wurde die Anordnung aufgrund von Malware/Betrug/Phishing widerrufen.
Sie 01:37
Ich brauche mich nicht zu entschuldigen, ich habe das Geld bezahlt und möchte Beweise dafür sehen, dass ich gegen Ihre Regeln verstoßen habe. Es ist einfach.
Ich habe drei Jahre lang bezahlt, dann haben Sie sich einen Grund ausgedacht und mich ohne Zertifikat und ohne Beweis meiner Schuld zurückgelassen.
Vinson 01:43
Ich verstehe deine Bedenken. Es wurde gemeldet, dass das Codesignaturzertifikat Malware verbreitet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle ist verpflichtet, das Zertifikat zu widerrufen.
Sie 01:45
Es scheint, dass du es nicht verstehst. Wo haben Sie das Gericht gesehen, das das Urteil ohne Beweise fällt? Genau das hast du getan. Ich hatte noch nie Malware. Warum legen Sie keinen Nachweis vor, wenn dies der Fall ist? Welcher konkrete Nachweis ist eine Zertifikatssperrung?
Vinson 01:46
Es tut mir leid, Alexander. Laut dem Bericht unserer höheren Beamten wurde die Anordnung aufgrund von Malware/Betrug/Phishing widerrufen.
Sie 01:47
Wer kann den wahren Grund für den Zertifikatsentzug erfahren?
Wenn Sie nicht antworten können, sagen Sie mir, an wen ich mich wenden kann?
Vinson 01:48
Bitte reichen Sie über den untenstehenden Link erneut ein Ticket ein, damit Sie so früh wie möglich eine Antwort erhalten.
Sie 01:48
Danke.
Dieses Ergebnis ist kein Einzelfall, bei Verhandlungen im Chat wird bestenfalls das Gleiche geantwortet, Tickets werden entweder gar nicht beantwortet oder die Antworten sind genauso nutzlos.
Ich erstelle erneut ein TicketMeine Anfrage:
Ich benötige den Nachweis, dass ich gegen eine Regel verstoßen habe, die zum Widerruf geführt hat. Ich habe ein Zertifikat gekauft und möchte wissen, warum mir mein Geld weggenommen wird.
„Malware/Betrug/Phishing“ ist nicht die Antwort! In welcher Datei haben Sie den Virus gesehen? Gibt es einen Link zu virustotal? Bitte legen Sie einen Nachweis vor oder geben Sie das Geld zurück. Ich habe es satt, dem technischen Support zu schreiben, und warte seit mehr als einer Woche.
Danke.
Ihre Antwort:
Es wurde gemeldet, dass das Codesignaturzertifikat Malware verbreitet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle ist verpflichtet, das Zertifikat zu widerrufen.
Die Hoffnung, dass es nicht der Affe ist, der mir antwortet, ist völlig verloren. Es entsteht ein interessantes Diagramm:
- Wir verkaufen ein Zertifikat.
- Wir warten seit mehr als sechs Monaten darauf, dass es unmöglich ist, einen Streitfall über PayPal zu eröffnen.
- Wir rufen zurück und warten auf die nächste Bestellung. Profitieren!
Da ich keine anderen Möglichkeiten habe, sie zu beeinflussen, kann ich ihren Betrug nur öffentlich machen. Beim Kauf eines Zertifikats von Comodo, auch bekannt als Sectigo, kann die gleiche Situation auftreten.
Update 9. Juni:
Heute habe ich CodeSignCert (das Unternehmen, über das ich das Zertifikat erworben habe) darüber informiert, dass ich die Situation mit einem Link zu diesem Artikel zur öffentlichen Diskussion gebracht habe, da sie nicht mehr reagierten. Nach einiger Zeit schickten sie schließlich einen Screenshot von virustotal, auf dem der Programm-Hash zu sehen war :
VirusTotal -
Meine Einschätzung der Situation:
Ich kann mit Sicherheit sagen, dass dies ein falsches Positiv ist. Zeichen:
- Bezeichnung in den meisten Fällen generisch.
- Keine Entdeckungen durch führende Antivirenprogramme.
Es ist schwer zu sagen, was genau eine solche Reaktion der Antivirenprogramme verursacht hat, aber da die Datei sehr veraltet ist (sie wurde vor fast einem Jahr erstellt), hatte ich den Quellcode der Version 1.6.1 nicht gespeichert, um die Datei binär neu zu erstellen . Allerdings habe ich die neueste Version 1.6.5 und angesichts der Unveränderlichkeit des Hauptzweigs wurden dort nur minimale Änderungen vorgenommen, aber es gibt keine solchen Fehlalarme:
VirusTotal -
CodeSignCert wurde über das falsche Positiv informiert. Sobald weitere Ergebnisse der Verhandlungen vorliegen, wird der Artikel aktualisiert, bis die Situation vollständig geklärt ist.
Source: habr.com