Bisakah Anda bayangkan sebuah perusahaan besar akan menipu pelanggannya, apalagi jika perusahaan tersebut memposisikan dirinya sebagai penjamin keamanan? Jadi saya tidak bisa melakukannya sampai saat ini. Artikel ini merupakan peringatan untuk berpikir dua kali sebelum membeli sertifikat penandatanganan kode dari Comodo.
Sebagai bagian dari pekerjaan saya (administrasi sistem), saya membuat berbagai program bermanfaat yang saya gunakan secara aktif dalam pekerjaan saya, dan pada saat yang sama saya mempostingnya secara gratis untuk semua orang. Sekitar tiga tahun yang lalu, ada kebutuhan untuk menandatangani program, jika tidak, tidak semua klien dan pengguna saya dapat mengunduhnya tanpa masalah hanya karena program tersebut tidak ditandatangani. Penandatanganan telah lama menjadi praktik normal dan tidak peduli seberapa aman suatu program, namun jika tidak ditandatangani, pasti akan ada peningkatan perhatian terhadapnya:
- Browser mengumpulkan statistik tentang seberapa sering suatu file diunduh, dan jika tidak ditandatangani, pada tahap awal bahkan dapat diblokir "untuk berjaga-jaga" dan memerlukan konfirmasi eksplisit dari pengguna untuk menyimpannya. Algoritmenya berbeda, terkadang domain dianggap tepercaya, tetapi secara umum merupakan tanda tangan valid yang mengonfirmasi keamanan.
- Setelah diunduh, file tersebut dilihat oleh antivirus dan segera sebelum OS itu sendiri dimulai. Untuk antivirus, tanda tangan juga penting, ini dapat dengan mudah dilihat di virustotal, dan untuk OS, mulai dari Win10, file dengan sertifikat yang dicabut langsung diblokir dan tidak dapat diluncurkan dari Explorer. Selain itu, di beberapa organisasi umumnya dilarang menjalankan kode yang tidak ditandatangani (dikonfigurasi menggunakan alat sistem), dan ini dibenarkan - semua pengembang normal telah lama memastikan bahwa program mereka dapat diperiksa tanpa usaha tambahan.
Secara umum, arah yang benar telah dipilih - sejauh mungkin, menjadikan Internet seaman mungkin bagi pengguna yang tidak berpengalaman. Namun implementasinya sendiri masih jauh dari ideal. Pengembang sederhana tidak bisa begitu saja memperoleh sertifikat; sertifikat harus dibeli dari perusahaan yang telah memonopoli pasar ini dan menentukan persyaratannya sendiri. Namun bagaimana jika programnya gratis? Tidak ada yang peduli. Kemudian pengembang punya pilihan - terus-menerus membuktikan keamanan programnya, mengorbankan kenyamanan pengguna, atau membeli sertifikat. Tiga tahun yang lalu, StartCom, yang sekarang berada di dasar lautan, menghasilkan keuntungan; tidak pernah ada masalah dengan mereka. Saat ini, harga minimum disediakan oleh Comodo, tetapi ternyata ada kendalanya - bagi mereka pengembang sebenarnya bukan siapa-siapa dan menipu dia adalah praktik normal.
Setelah hampir setahun menggunakan sertifikat yang saya beli pada pertengahan tahun 2018, tiba-tiba tanpa pemberitahuan sebelumnya melalui surat atau telepon, Comodo mencabutnya tanpa penjelasan. Dukungan teknis mereka tidak berfungsi dengan baik - mereka mungkin tidak merespons selama seminggu, namun mereka masih berhasil menemukan alasan utamanya - mereka menganggap bahwa sertifikat yang dikeluarkan ditandatangani oleh malware. Dan ceritanya bisa berakhir di sana, jika bukan karena satu hal - Saya tidak pernah membuat malware, dan metode perlindungan saya memungkinkan saya untuk mengatakan bahwa tidak mungkin mencuri kunci pribadi saya. Hanya Comodo yang memiliki salinan kuncinya karena mereka menerbitkannya tanpa CSR. Dan kemudian - hampir dua minggu upaya yang gagal untuk menemukan bukti dasar. Perusahaan yang seharusnya menjamin perlindungan keamanan, dengan tegas menolak memberikan bukti pelanggaran aturan mereka.
Dari obrolan terakhir dengan dukungan teknisAnda 01:20
Anda telah menulis “Kami berusaha untuk menanggapi tiket dukungan standar pada hari kerja yang sama.” tapi saya telah menunggu jawabannya selama seminggu sekarang.
Vinson 01:20
Hai, Selamat Datang di Validasi SSL Sectigo!
Izinkan saya memeriksa status kasus Anda, harap tunggu sebentar.
Saya telah memeriksa dan pesanan telah dicabut karena malware/penipuan/phishing oleh pejabat tinggi kami.
Anda 01:28
Saya yakin ini kesalahan Anda, jadi saya minta buktinya.
Saya belum pernah mengalami malware/penipuan/phishing.
Vinson 01:30
Maafkan aku, Alexander. Saya telah memeriksa ulang dan pesanan telah dicabut karena malware/penipuan/phishing oleh pejabat tinggi kami.
Anda 01:31
Di file mana Anda melihat virusnya? Apakah ada tautan ke virustotal? Saya tidak menerima jawaban Anda karena tidak ada bukti di dalamnya. Saya membayar uang untuk sertifikat ini dan saya berhak mengetahui mengapa uang saya diambil secara paksa.
Jika tidak dapat memberikan bukti, maka akta tersebut dicabut secara tidak adil dan harus mengembalikan uang. Kalau tidak, apa gunanya pekerjaan Anda jika Anda mencabut sertifikat tanpa bukti?
Vinson 01:34
Saya memahami kekhawatiran Anda. Sertifikat penandatanganan kode telah dilaporkan menyebarkan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diharuskan untuk mencabut sertifikat.
Sesuai dengan kebijakan pengembalian dana, kami tidak dapat mengembalikan dana setelah 30 hari sejak tanggal penerbitan.
Anda 01:35
Menurut Anda mengapa ini bukan kesalahan atau kesalahan positif?
Vinson 01:36
Maafkan aku, Alexander. Sesuai laporan pejabat tinggi kami, perintah tersebut telah dicabut karena malware/penipuan/phishing.
Anda 01:37
Tidak perlu meminta maaf, saya sudah membayar uangnya dan saya ingin melihat bukti bahwa saya melanggar aturan Anda. Itu mudah.
Saya membayar selama tiga tahun, lalu Anda mengemukakan alasannya dan meninggalkan saya tanpa sertifikat dan tanpa bukti kesalahan saya.
Vinson 01:43
Saya memahami kekhawatiran Anda. Sertifikat penandatanganan kode telah dilaporkan menyebarkan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diharuskan untuk mencabut sertifikat.
Anda 01:45
Sepertinya kamu tidak mengerti. Di mana Anda melihat pengadilan yang menjatuhkan hukuman tanpa bukti? Anda melakukan hal itu. Saya tidak pernah memiliki malware. Mengapa Anda tidak memberikan bukti jika memang demikian? Bukti spesifik apa pencabutan sertifikat?
Vinson 01:46
Maafkan aku, Alexander. Sesuai laporan pejabat tinggi kami, perintah tersebut telah dicabut karena malware/penipuan/phishing.
Anda 01:47
Kepada siapa saya dapat mengetahui alasan sebenarnya pencabutan sertifikat?
Jika Anda tidak dapat menjawab, beri tahu saya siapa yang harus dihubungi?
Vinson 01:48
Silakan kirimkan tiket lagi menggunakan tautan di bawah ini sehingga Anda akan menerima tanggapan sedini mungkin.
Anda 01:48
Terima kasih.
Hasil ini tidak terisolasi, sepanjang waktu negosiasi dalam obrolan, paling banter, mereka menjawab hal yang sama, tiket tidak dijawab sama sekali, atau jawabannya sama tidak berguna.
Saya membuat tiket lagiPermintaanku:
Saya memerlukan bukti bahwa saya melanggar aturan yang menyebabkan pencabutan. Saya membeli sertifikat dan ingin tahu mengapa uang saya diambil.
"malware/penipuan/phishing" bukanlah jawabannya! Di file mana Anda melihat virusnya? Apakah ada tautan ke virustotal? Tolong berikan bukti atau kembalikan uangnya, saya lelah menulis dukungan teknis dan sudah menunggu lebih dari seminggu.
Terima kasih.
Jawaban mereka:
Sertifikat penandatanganan kode telah dilaporkan menyebarkan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diharuskan untuk mencabut sertifikat.
Harapan bahwa bukan monyet yang akan menjawabku hilang sama sekali. Sebuah diagram menarik muncul:
- Kami menjual sertifikat.
- Kami telah menunggu lebih dari enam bulan sehingga tidak mungkin membuka sengketa melalui PayPal.
- Kami sedang mengingat dan menunggu pesanan selanjutnya. Laba!
Karena saya tidak punya metode lain untuk mempengaruhi mereka, saya hanya bisa mengumumkan penipuan mereka. Saat membeli sertifikat dari Comodo, juga dikenal sebagai Sectigo, Anda mungkin mengalami situasi yang sama.
Pembaruan 9 Juni:
Hari ini saya memberi tahu CodeSignCert (perusahaan tempat saya membeli sertifikat) bahwa sejak mereka berhenti merespons, saya telah membawa situasinya untuk diskusi publik dengan tautan ke artikel ini. Setelah beberapa waktu, mereka akhirnya mengirimkan screenshot virustotal, dimana hash programnya terlihat :
Jumlah Virus -
Penilaian saya terhadap situasi ini:
Saya dapat mengatakan dengan yakin bahwa ini adalah positif palsu. Tanda-tanda:
- Penunjukan Generik dalam banyak kasus.
- Tidak ada deteksi dari pemimpin antivirus.
Sulit untuk mengatakan apa sebenarnya yang menyebabkan reaksi seperti itu dari antivirus, tetapi karena file tersebut sudah sangat usang (dibuat hampir setahun yang lalu), saya tidak menyimpan kode sumber versi 1.6.1 ke biner untuk membuat ulang file tersebut . Namun, saya memiliki versi terbaru 1.6.5, dan mengingat kekekalan cabang utama, sedikit perubahan yang dilakukan di sana, tetapi tidak ada kesalahan positif seperti itu:
Jumlah Virus -
CodeSignCert telah diberitahu mengenai positif palsu; setelah hasil negosiasi lebih lanjut tersedia, artikel akan diperbarui hingga situasi terselesaikan sepenuhnya.
Sumber: www.habr.com