Imaxinádesvos que unha gran empresa enganaría aos seus clientes, sobre todo se esta empresa se posicionase como garante da seguridade? Así que non puiden ata hai pouco. Este artigo é unha advertencia para pensar dúas veces antes de comprar un certificado de sinatura de código de Comodo.
Como parte do meu traballo (administración do sistema), fago varios programas útiles que uso activamente no meu propio traballo e, ao mesmo tempo, os publico de balde para todos. Hai uns tres anos, houbo que asinar programas, se non, non todos os meus clientes e usuarios podían descargalos sen problemas só porque non estaban asinados. A sinatura é unha práctica normal durante moito tempo e non importa o seguro que sexa un programa, pero se non está asinado, definitivamente se prestará maior atención a el:
- O navegador recolle estatísticas sobre a frecuencia con que se descarga un ficheiro e, cando non está asinado, na fase inicial pode incluso bloquearse "por se acaso" e requirir unha confirmación explícita do usuario para gardar. Os algoritmos son diferentes, ás veces o dominio considérase de confianza, pero en xeral é unha sinatura válida que confirma a seguridade.
- Despois da descarga, o ficheiro é mirado polo antivirus e inmediatamente antes de que se inicie o propio sistema operativo. Para os antivirus, a sinatura tamén é importante, isto pódese ver facilmente en virustotal e, en canto ao sistema operativo, a partir de Win10, un ficheiro cun certificado revogado bloquearase inmediatamente e non se pode iniciar desde o Explorador. Ademais, nalgunhas organizacións é xeralmente prohibido executar código sen asinar (configurado mediante ferramentas do sistema), e isto está xustificado: todos os desenvolvedores normais aseguraron durante moito tempo que os seus programas se poidan comprobar sen esforzo adicional.
En xeral, escolleuse a dirección correcta, na medida do posible, facendo que Internet sexa o máis segura posible para usuarios sen experiencia. Non obstante, a propia implementación aínda está lonxe de ser ideal. Un simple desenvolvedor non pode simplemente obter un certificado, debe ser comprado a empresas que monopolizaron este mercado e ditar as súas condicións sobre el. Pero e se os programas son gratuítos? A ninguén lle importa. Entón, o programador ten unha opción: probar constantemente a seguridade dos seus programas, sacrificar a comodidade dos usuarios ou mercar un certificado. Hai tres anos, StartCom, que agora vive no fondo do océano, era rendible; nunca houbo problemas con eles. Polo momento, Comodo ofrece o prezo mínimo, pero, como se ve, hai unha trampa: para eles, o desenvolvedor é literalmente ninguén e enganar con el é unha práctica normal.
Despois de case un ano de usar o certificado que merquei a mediados de 2018, de súpeto, sen previo aviso por correo ou teléfono, Comodo revogouno sen explicación. O seu soporte técnico non funciona ben -pode que non respondan durante unha semana, pero aínda así conseguiron descubrir o motivo principal-, consideraron que o certificado emitido estaba asinado por malware. E a historia podería ter rematado aí, se non fose por unha cousa: nunca creei malware e os meus propios métodos de protección permítenme dicir que é imposible roubar a miña clave privada. Só Comodo ten unha copia da chave porque a emiten sen CSR. E entón - case dúas semanas de intentos infrutuosos para descubrir a proba elemental. A empresa, que supostamente garante a protección de seguridade, negouse rotundamente a proporcionar probas de violación das súas normas.
Dende o último chat con soporte técnicoTi 01:20
Escribiches "Esforzámonos por responder aos tickets de soporte estándar no mesmo día laborable". pero levo unha semana esperando unha resposta.
Vinson 01:20
Ola, benvido a Sectigo SSL Validation!
Permíteme comprobar o estado do teu caso, espera un minuto.
Comprobeino e a orde foi revogada debido a malware/fraude/phishing por parte do noso funcionario superior.
Ti 01:28
Estou seguro de que este é o teu erro, así que pido probas.
Nunca tiven malware/fraude/phishing.
Vinson 01:30
Síntoo, Alexandre. Comprobei dúas veces e a orde foi revogada debido a malware/fraude/phishing por parte do noso funcionario superior.
Ti 01:31
En que ficheiro viches o virus? Hai unha ligazón a virustotal? Non acepto a túa resposta porque non hai ningunha proba nela. Paguei diñeiro por este certificado e teño dereito a saber por que me quitan o diñeiro á forza.
Se non pode proporcionar proba, entón o certificado foi revogado inxustamente e debe devolver o diñeiro. En caso contrario, cal é o significado do teu traballo se revogas certificados sen probas?
Vinson 01:34
Entendo a túa preocupación. Informeuse do certificado de sinatura de código para a distribución de malware. Segundo as directrices da industria: Sectigo como autoridade de certificación está obrigada a revogar o certificado.
Ademais, segundo a política de reembolso, non poderemos realizar o reembolso despois de 30 días desde a data de emisión.
Ti 01:35
Por que cres que isto non é un erro ou un falso positivo?
Vinson 01:36
Síntoo, Alexandre. Segundo o informe dos nosos funcionarios superiores, a orde foi revogada debido a malware/fraude/phishing.
Ti 01:37
Non hai que pedir desculpas, paguei o diñeiro e quero ver probas de que violei as túas regras. É sinxelo.
Paguei tres anos, despois deches un motivo e deixoume sen certificado e sen proba da miña culpa.
Vinson 01:43
Entendo a túa preocupación. Informeuse do certificado de sinatura de código para a distribución de malware. Segundo as directrices da industria: Sectigo como autoridade de certificación está obrigada a revogar o certificado.
Ti 01:45
Parece que non entendes. Onde viu o xulgado que dita a sentenza sen probas? Só fixeches iso. Nunca tiven malware. Por que non aportas proba se é así? Que proba específica é unha revogación de certificado?
Vinson 01:46
Síntoo, Alexandre. Segundo o informe dos nosos funcionarios superiores, a orde foi revogada debido a malware/fraude/phishing.
Ti 01:47
Quen podo descubrir a verdadeira razón para revogar o certificado?
Se non podes responder, dime con quen contactar?
Vinson 01:48
Envía un ticket de novo usando a seguinte ligazón para que recibas unha resposta o antes posible.
Ti 01:48
Grazas.
Este resultado non está illado, todo o tempo das negociacións no chat, ao mellor, responden o mesmo, os tickets ou non se contestan en absoluto, ou as respostas son igual de inútiles.
Estou creando unha entrada de novoA miña petición:
Requiro proba de que infrincín unha norma que levou á revogación. Merquei un certificado e quero saber por que me quitan o diñeiro.
"malware/fraude/phishing" non é a resposta! En que ficheiro viches o virus? Hai unha ligazón a virustotal? Por favor, proporcione unha proba ou devolva o diñeiro, estou canso de escribir soporte técnico e levo esperando máis dunha semana.
Grazas.
A súa resposta:
Informeuse do certificado de sinatura de código para a distribución de malware. Segundo as directrices da industria: Sectigo como autoridade de certificación está obrigada a revogar o certificado.
A esperanza de que non sexa o mono o que me responda está completamente perdida. Xorde un diagrama interesante:
- Vendemos un certificado.
- Levamos máis de seis meses agardando para que sexa imposible abrir unha disputa a través de PayPal.
- Estamos recordando e esperando o seguinte pedido. Beneficio!
Como non teño outros métodos para influír neles, só podo facer público o seu fraude. Ao comprar un certificado de Comodo, tamén coñecido como Sectigo, podes atoparte coa mesma situación.
Actualización 9 de xuño:
Hoxe notifiquei a CodeSignCert (a empresa a través da cal merquei o certificado) que xa que deixaron de responder, puxen a situación para debate público cunha ligazón a este artigo. Despois dun tempo, finalmente enviaron unha captura de pantalla de virustotal, onde o hash do programa era visible :
VirusTotal -
A miña valoración da situación:
Podo dicir con confianza que este é un falso positivo. Sinais:
- Designación Xérica na maioría dos casos.
- Non hai deteccións dos líderes antivirus.
É difícil dicir o que causou exactamente esa reacción dos antivirus, pero como o ficheiro está moi desactualizado (creouse hai case un ano), non tiña o código fonte da versión 1.6.1 gardado para recrear o ficheiro binario. . Non obstante, teño a última versión 1.6.5 e, dada a inmutabilidade da rama principal, alí se fixeron cambios mínimos, pero non hai tales falsos positivos:
VirusTotal -
O falso positivo foi notificado a CodeSignCert; unha vez que estean dispoñibles outros resultados das negociacións, o artigo actualizarase ata que se resolva por completo a situación.
Fonte: www.habr.com