Kas te kujutaksite ette, et suurettevõte petaks oma kliente, eriti kui see ettevõte positsioneerib end turvalisuse tagajana? Nii et ma ei saanud kuni viimase ajani. See artikkel on hoiatus, mis paneb teid kümme korda mõtlema, enne kui ostate Comodolt koodi allkirjastamise sertifikaadi.
Oma töö (süsteemihalduse) raames teen erinevaid kasulikke programme, mida ise aktiivselt oma töös kasutan ja samas postitan neid kõigile tasuta. Umbes kolm aastat tagasi tekkis vajadus programmid allkirjastada, sest muidu ei saanud kõik minu kliendid ja kasutajad neid probleemideta alla laadida, kuna need olid allkirjastamata. Allkirjastamine on juba ammu tavaline praktika ja ükskõik kui turvaline programm ka poleks, aga kui seda ei allkirjastata, pööratakse sellele kindlasti kõrgendatud tähelepanu:
- Brauser kogub statistikat faili allalaadimise sageduse kohta ja kui see pole allkirjastatud, saab selle algstaadiumis "igaks juhuks" isegi blokeerida ja nõuda salvestamiseks kasutajalt selgesõnalist kinnitust. Algoritmid on erinevad, mõnikord peetakse domeeni usaldusväärseks, kuid üldiselt on see turvalisust kinnitav kehtiv allkiri.
- Pärast allalaadimist vaatab faili viirusetõrje ja vahetult enne OS-i enda käivitumist. Viirusetõrje puhul on oluline ka signatuur, see on virustotalis hästi näha ja mis puudutab OS-i, siis alates Win10-st blokeeritakse tühistatud sertifikaadiga fail koheselt ja seda ei saa Explorerist käivitada. Lisaks on mõnes organisatsioonis üldiselt keelatud (süsteemitööriistade abil konfigureeritud) allkirjastamata koodi käivitamine ja see on õigustatud – kõik tavalised arendajad on juba ammu veendunud, et nende programme saab ilma täiendavate pingutusteta kontrollida.
Üldiselt on valitud õige suund – võimaluste piires, muutes interneti võimalikult turvaliseks kogenematutele kasutajatele. Kuid teostus ise on ideaalsest veel kaugel. Lihtne arendaja ei saa lihtsalt sertifikaati hankida, see tuleb osta ettevõtetelt, kes on selle turu monopoliseerinud ja dikteerivad sellele oma tingimused. Aga mis siis, kui programmid on tasuta? Kedagi ei huvita. Seejärel on arendajal valida - kas pidevalt tõestada oma programmide ohutust, ohverdades kasutajate mugavust, või osta sertifikaat. Kolm aastat tagasi oli praegu ookeani põhjas elav StartCom kasumlik, nendega pole kunagi probleeme olnud. Hetkel pakub miinimumhinda Comodo, kuid, nagu selgub, on konks - nende jaoks on arendaja sõna otseses mõttes eikeegi ja tema petmine on tavaline praktika.
Pärast peaaegu aastast 2018. aasta keskel ostetud sertifikaadi kasutamist tühistas Comodo selle ootamatult, ilma posti või telefoni teel ette teatamata. Nende tehniline tugi ei tööta hästi - nad ei pruugi nädal aega vastata, kuid siiski õnnestus neil välja selgitada peamine põhjus - nad leidsid, et väljastatud sertifikaadile on alla kirjutanud pahavara. Ja lugu oleks võinud sellega lõppeda, kui mitte üks asi - ma pole kunagi pahavara loonud ja minu enda kaitsemeetodid lubavad mul öelda, et minu privaatvõtit on võimatu varastada. Ainult Comodol on võtme koopia, kuna nad väljastavad need ilma CSR-ita. Ja siis - peaaegu kaks nädalat ebaõnnestunud katseid elementaarse tõestuse väljaselgitamiseks. Ettevõte, mis väidetavalt tagab turvalisuse, keeldus kategooriliselt esitamast tõendeid nende reeglite rikkumise kohta.
Viimasest vestlusest tehnilise toegaSina 01:20
Olete kirjutanud: "Püüame vastata tavalistele tugipiletitele sama tööpäeva jooksul." aga ma ootan vastust juba nädal aega.
Vinson 01:20
Tere, Tere tulemast Sectigo SSL-i valideerimisse!
Lubage mul kontrollida teie juhtumi olekut, palun oodake minut.
Olen kontrollinud ja tellimus on meie kõrgema ametniku pahavara/pettuse/andmepüügi tõttu tühistatud.
Sina 01:28
Olen kindel, et see on teie viga, seega palun tõendeid.
Mul pole kunagi olnud pahavara/pettus/andmepüük.
Vinson 01:30
Mul on kahju, Aleksander. Kontrollisin üle ja tellimus on meie kõrgema ametniku pahavara/pettuse/andmepüügi tõttu tühistatud.
Sina 01:31
Millises failis sa viirust nägid? Kas on linki virustotalile? Ma ei aktsepteeri teie vastust, sest selles pole tõendeid. Maksin selle tõendi eest raha ja mul on õigus teada, miks minult raha jõuga ära võetakse.
Kui te ei suuda tõendeid esitada, tühistati sertifikaat ebaõiglaselt ja peate raha tagastama. Muidu, mis on sinu töö mõte, kui võtad sertifikaadid ilma tõendita kehtetuks?
Vinson 01:34
Ma mõistan teie muret. Koodi allkirjastamise sertifikaat on teatatud pahavara levitamise kohta. Vastavalt tööstusharu juhistele: Sectigo kui sertifitseerimisasutus on kohustatud sertifikaadi tühistama.
Ka tagasimaksepoliitika kohaselt ei saa me raha tagasi maksta pärast 30 päeva möödumist väljaandmise kuupäevast.
Sina 01:35
Miks arvate, et see pole viga või valepositiivne?
Vinson 01:36
Mul on kahju, Aleksander. Meie kõrgemate ametnike aruande kohaselt on korraldus pahavara/pettuse/andmepüügi tõttu tühistatud.
Sina 01:37
Pole vaja vabandada, ma maksin raha ja tahan näha tõendit, et rikkusin teie reegleid. See on lihtne.
Maksin kolm aastat, siis mõtlesite välja põhjuse ja jätsite mu ilma tõendita ja süütõenditeta.
Vinson 01:43
Ma mõistan teie muret. Koodi allkirjastamise sertifikaat on teatatud pahavara levitamise kohta. Vastavalt tööstusharu juhistele: Sectigo kui sertifitseerimisasutus on kohustatud sertifikaadi tühistama.
Sina 01:45
Tundub, et sa ei saa aru. Kus sa nägid seda kohut, kes langetab karistuse ilma tõenditeta? Sa tegid just seda. Mul pole kunagi pahavara olnud. Miks te ei esita tõendeid, kui on? Mis konkreetseks tõendiks on sertifikaadi tühistamine?
Vinson 01:46
Mul on kahju, Aleksander. Meie kõrgemate ametnike aruande kohaselt on korraldus pahavara/pettuse/andmepüügi tõttu tühistatud.
Sina 01:47
Kellelt saab teada tõendi kehtetuks tunnistamise tegelik põhjus?
Kui te ei saa vastata, öelge, kelle poole pöörduda?
Vinson 01:48
Esitage pilet uuesti, kasutades allolevat linki, et saaksite vastuse võimalikult varem.
Sina 01:48
Aitäh.
See tulemus pole isoleeritud, kogu vestluse läbirääkimiste aja vastatakse heal juhul sama asja, piletitele kas ei vastata üldse või on vastused sama kasutud.
Loon jälle piletitMinu palve:
Nõuan tõendeid selle kohta, et rikkusin tühistamiseni viinud reeglit. Ostsin sertifikaadi ja tahan teada, miks minult raha võetakse.
"pahavara/pettus/andmepüük" pole lahendus! Millises failis sa viirust nägid? Kas on linki virustotalile? Palun esitage tõend või tagastage raha, olen tüdinud tehnilise toe kirjutamisest ja ootan juba üle nädala.
Aitäh.
Nende vastus:
Koodi allkirjastamise sertifikaat on teatatud pahavara levitamise kohta. Vastavalt tööstusharu juhistele: Sectigo kui sertifitseerimisasutus on kohustatud sertifikaadi tühistama.
Lootus, et mulle ei vasta ahv, on täiesti kadunud. Selgub huvitav diagramm:
- Müüme sertifikaati.
- Oleme oodanud rohkem kui kuus kuud, et PayPali kaudu pole võimalik vaidlust avada.
- Tuletame meelde ja ootame järgmist tellimust. Kasum!
Kuna mul pole muid meetodeid nende mõjutamiseks, saan ainult nende pettuse avalikustada. Ostes sertifikaadi Comodolt, tuntud ka kui Sectigo, võite kohata sama olukorda.
Värskendus 9. juunil:
Täna andsin CodeSignCertile (firmale, mille kaudu sertifikaadi ostsin), et kuna nad enam ei vastanud, tõin olukorra avalikuks aruteluks lingiga sellele artiklile. Mõne aja pärast saatsid nad lõpuks virustotalist ekraanipildi, kus oli näha programmi räsi :
VirusTotal –
Minu hinnang olukorrale:
Võin kindlalt öelda, et see on valepositiivne. Märgid:
- Nimetus Üldine enamikul juhtudel.
- Viirusetõrje liidrid ei tuvastanud.
Raske on öelda, mis täpselt põhjustas sellise viirusetõrje reaktsiooni, kuid kuna fail on väga vananenud (see loodi peaaegu aasta tagasi), ei olnud mul versiooni 1.6.1 lähtekoodi salvestatud, et faili binaarselt uuesti luua. . Kuid mul on uusim versioon 1.6.5 ja arvestades põhiharu muutumatust, tehti seal minimaalseid muudatusi, kuid selliseid valepositiivseid tulemusi pole:
VirusTotal –
CodeSignCerti on teavitatud valepositiivsest; kui läbirääkimiste edasised tulemused selguvad, uuendatakse artiklit kuni olukorra täieliku lahenemiseni.
Allikas: www.habr.com