Kinne jo jo yntinke dat in grut bedriuw syn klanten soe ferrifelje, foaral as dit bedriuw himsels as garânsje fan feiligens stelt? Dat ik koe net oant koartlyn. Dit artikel is in warskôging om twa kear nei te tinken foardat jo in sertifikaatûndertekeningsertifikaat fan Comodo keapje.
As ûnderdiel fan myn wurk (systeembehear) meitsje ik ferskate nuttige programma's dy't ik aktyf brûke yn myn eigen wurk, en tagelyk pleats ik se fergees foar elkenien. Sa'n trije jier lyn wie der ferlet om programma's te ûndertekenjen, oars koenen net al myn kliïnten en brûkers se sûnder problemen downloade gewoan om't se net ûndertekene wiene. Undertekenjen is al lang in normale praktyk en hoe feilich in programma ek is, mar as it net ûndertekene wurdt, sil der grif mear omtinken foar komme:
- De browser sammelt statistiken oer hoe faak in bestân wurdt ynladen, en as it net ûndertekene is, kin it yn 'e earste faze sels blokkearre wurde "foar it gefal" en fereasket in eksplisite befêstiging fan de brûker om te bewarjen. De algoritmen binne oars, soms wurdt it domein beskôge as fertroud, mar yn 't algemien is it in jildige hantekening dy't feiligens befêstiget.
- Nei it ynladen wurdt it bestân besjoen troch it antivirus en fuortendaliks foardat it OS sels begjint. Foar antyviruses is de hantekening ek wichtich, dit kin maklik sjoen wurde op virustotal, en as foar it OS, begjinnend mei Win10, wurdt in bestân mei in ynlutsen sertifikaat fuortendaliks blokkearre en kin net wurde lansearre út Explorer. Derneist is it yn guon organisaasjes oer it algemien ferbean om net-ûndertekene koade út te fieren (konfigureare mei systeemark), en dit is terjochte - alle normale ûntwikkelders hawwe lang derfoar soarge dat har programma's sûnder ekstra ynspanning kinne wurde kontrolearre.
Yn 't algemien is de goede rjochting keazen - foar safier mooglik, wêrtroch it ynternet sa feilich mooglik is foar sûnder ûnderfining brûkers. De útfiering sels is lykwols noch fier fan ideaal. In ienfâldige ûntwikkelder kin net gewoan in sertifikaat krije; it moat wurde kocht fan bedriuwen dy't dizze merk hawwe monopolisearre en har betingsten derop diktearje. Mar wat as de programma's fergees binne? Nimmen makket it út. Dan hat de ûntwikkelder in kar - om konstant de feiligens fan syn programma's te bewizen, it gemak fan brûkers op te offerjen, of in sertifikaat te keapjen. Trije jier lyn wie StartCom, dy't no op 'e boaiem fan' e oseaan libbet, rendabel; d'r hawwe noait problemen mei west. Op it stuit wurdt de minimale priis fersoarge troch Comodo, mar, sa docht bliken, is d'r in fangen - foar har is de ûntwikkelder letterlik in nimmen en bedroch op him is normale praktyk.
Nei hast in jier fan it brûken fan it sertifikaat dat ik kocht yn 'e midden fan 2018, ynienen, sûnder foarôfgeande oankundiging per post of telefoan, ynlutsen Comodo it sûnder útlis. Har technyske stipe wurket net goed - se meie net reagearje foar in wike, mar se binne dochs slagge om te finen út de wichtichste reden - se beskôgen dat it útjûn sertifikaat waard tekene troch malware. En it ferhaal koe dêr einigje, as net foar ien ding - ik haw noait malware makke, en myn eigen beskermingsmetoaden tastean my te sizzen dat it ûnmooglik is om myn privee kaai te stellen. Allinnich Comodo hat in kopy fan 'e kaai, om't se se útjaan sûnder in CSR. En dan - hast twa wiken fan mislearre besykjen om it elemintêre bewiis te finen. It bedriuw, dat sabeare feiligensbeskerming garandearret, wegere flaterlik bewiis te leverjen fan oertreding fan har regels.
Fan it lêste petear mei technyske stipeJo 01:20
Jo hawwe skreaun "Wy stribje dernei om te reagearjen op standert stipe tickets binnen deselde wurkdei." mar ik wachte al in wike op in reaksje.
Vinson 01:20
Hoi, wolkom by Sectigo SSL Validation!
Lit my jo saakstatus kontrolearje, hâld asjebleaft in minút.
Ik haw kontrolearre en de bestelling is ynlutsen fanwege malware / fraude / phishing troch ús hegere amtner.
Jo 01:28
Ik bin der wis fan dat dit jo flater is, dus ik freegje om bewiis.
Ik haw noait malware / fraude / phishing hân.
Vinson 01:30
It spyt my, Alexander. Ik haw dûbel kontrolearre en de bestelling is ynlutsen fanwege malware/fraude/phishing troch ús hegere amtner.
Jo 01:31
Yn hokker triem hawwe jo it firus sjoen? Is d'r in keppeling nei virustotal? Ik akseptearje jo antwurd net om't der gjin bewiis yn sit. Ik haw jild betelle foar dit sertifikaat en ik haw it rjocht om te witten wêrom myn jild mei geweld fan my ôfnommen wurdt.
As jo gjin bewiis kinne leverje, dan is it sertifikaat ûnearlik ynlutsen en moat it jild weromjaan. Oars, wat is de betsjutting fan jo wurk as jo sertifikaten ynlûke sûnder bewiis?
Vinson 01:34
Ik begryp jo soargen. It sertifikaatûndertekeningssertifikaat is rapportearre foar it fersprieden fan malware. Neffens yndustryrjochtlinen: Sectigo as sertifikaasjeautoriteit is ferplichte it sertifikaat yn te lûken.
Ek as per restitúsjebelied kinne wy nei 30 dagen nei de datum fan útjefte net werombetelje.
Jo 01:35
Wêrom tinke jo dat dit gjin flater of in falsk posityf is?
Vinson 01:36
It spyt my, Alexander. Neffens ús rapport fan hegere amtners is de oarder ynlutsen fanwege malware/fraude/phishing.
Jo 01:37
Gjin ferûntskuldiging nedich, ik haw it jild betelle en ik wol bewiis sjen dat ik jo regels skeind haw. It is ienfâldich.
Ik haw trije jier betelle, doe kamen jo in reden en lieten my sûnder sertifikaat en sûnder bewiis fan myn skuld.
Vinson 01:43
Ik begryp jo soargen. It sertifikaatûndertekeningssertifikaat is rapportearre foar it fersprieden fan malware. Neffens yndustryrjochtlinen: Sectigo as sertifikaasjeautoriteit is ferplichte it sertifikaat yn te lûken.
Jo 01:45
It liket derop dat jo it net begripe. Wêr hawwe jo de rjochtbank sjoen dy't de sin sûnder bewiis útfalt? Dat diene jo krekt. Ik haw nea hie malware. Wêrom jouwe jo gjin bewiis as it is? Hokker spesifyk bewiis is in ynlûking fan in sertifikaat?
Vinson 01:46
It spyt my, Alexander. Neffens ús rapport fan hegere amtners is de oarder ynlutsen fanwege malware/fraude/phishing.
Jo 01:47
Wa kin ik de echte reden fine foar it ynlûken fan it sertifikaat?
As jo gjin antwurdzje kinne, fertel my dan mei wa't jo kontakt opnimme?
Vinson 01:48
Stjoer asjebleaft nochris in kaartsje yn fia de ûndersteande link, sadat jo sa earder mooglik in antwurd krije moatte.
Jo 01:48
Dankewol.
Dit resultaat is net isolearre, de hiele tiid fan ûnderhannelingen yn it petear, op syn bêst, se antwurdzje itselde ding, kaartsjes wurde of hielendal net beäntwurde, of de antwurden binne like nutteloos.
Ik meitsje wer in kaartsjeMyn fersyk:
Ik easkje bewiis dat ik skeind in regel dy't late ta ynlûking. Ik kocht in sertifikaat en wol witte wêrom't myn jild fan my ôfnommen wurdt.
"malware/fraude/phishing" is net it antwurd! Yn hokker triem hawwe jo it firus sjoen? Is d'r in keppeling nei virustotal? Jou asjebleaft bewiis of werom it jild, ik bin wurch fan it skriuwen fan technyske stipe en wachte al mear as in wike.
Dankewol.
Harren antwurd:
It sertifikaatûndertekeningssertifikaat is rapportearre foar it fersprieden fan malware. Neffens yndustryrjochtlinen: Sectigo as sertifikaasjeautoriteit is ferplichte it sertifikaat yn te lûken.
De hope dat it net de aap is dy't my antwurdzje sil is folslein ferlern. In nijsgjirrich diagram ferskynt:
- Wy ferkeapje in sertifikaat.
- Wy hawwe wachte foar mear as seis moanne, sadat it ûnmooglik is om in skeel te iepenjen fia PayPal.
- Wy binne weromroppen en wachtsje op de folgjende bestelling. Winst!
Om't ik gjin oare metoaden haw om har te beynfloedzjen, kin ik allinich har fraude iepenbier meitsje. By it keapjen fan in sertifikaat fan Comodo, ek wol bekend as Sectigo, kinne jo deselde situaasje tsjinkomme.
Update 9 juny:
Hjoed haw ik CodeSignCert (it bedriuw wêrmei't ik it sertifikaat kocht) ynformearre dat sûnt se ophâlden te reagearjen, haw ik de situaasje foar iepenbiere diskusje brocht mei in keppeling nei dit artikel. Nei in skoftke stjoerde se úteinlik in skermôfbylding fan virustotal, wêr't de programma-hash sichtber wie :
VirusTotal -
Myn beoardieling fan 'e situaasje:
Ik kin mei fertrouwen sizze dat dit in falsk posityf is. Teken:
- Oantsjutting Generic yn de measte gefallen.
- Gjin deteksjes fan antyviruslieders.
It is dreech om te sizzen wat krekt feroarsake sa'n reaksje fan 'e antiviruses, mar om't it bestân tige ferâldere is (it is hast in jier lyn makke), hie ik de boarnekoade fan ferzje 1.6.1 net bewarre om it bestân binêr te meitsjen. . Ik haw lykwols de lêste ferzje 1.6.5, en sjoen de ûnferoarlikens fan 'e haadtûke, binne der minimale feroarings makke, mar d'r binne gjin sokke falske positiven:
VirusTotal -
CodeSignCert is op 'e hichte brocht fan' e falske posityf; ienris fierdere resultaten fan 'e ûnderhannelings beskikber wurde, sil it artikel wurde bywurke oant de situaasje folslein oplost is.
Boarne: www.habr.com