Gætirðu ímyndað þér að stórt fyrirtæki myndi blekkja viðskiptavini sína, sérstaklega ef þetta fyrirtæki staðsetur sig sem ábyrgðaraðila á öryggi? Svo ég gat það ekki fyrr en nýlega. Þessi grein er viðvörun um að hugsa sig tvisvar um áður en þú kaupir kóða undirritunarskírteini frá Comodo.
Sem hluti af starfi mínu (kerfisstjórnun) bý ég til ýmis nytsamleg forrit sem ég nota virkan í eigin vinnu og á sama tíma set ég þau ókeypis fyrir alla. Fyrir um þremur árum var þörf á að undirrita forrit, annars gátu ekki allir viðskiptavinir mínir og notendur hlaðið þeim niður án vandræða bara vegna þess að þau voru ekki undirrituð. Undirritun hefur lengi verið eðlileg venja og sama hversu öruggt forrit er, en ef það er ekki undirritað mun það örugglega auka athygli á því:
- Vafrinn safnar tölfræði um hversu oft skrá er hlaðið niður, og þegar hún er ekki undirrituð, á upphafsstigi er jafnvel hægt að loka henni „bara ef“ og krefjast skýrrar staðfestingar frá notanda til að vista hana. Reikniritin eru mismunandi, stundum er lénið talið treyst, en almennt er það gild undirskrift sem staðfestir öryggi.
- Eftir niðurhal er vírusvarnarforritið skoðað skrána og strax áður en stýrikerfið sjálft byrjar. Fyrir vírusvörn er undirskriftin líka mikilvæg, þetta er auðvelt að sjá á virustotal, og hvað varðar stýrikerfið, frá og með Win10, er skrá með afturkallað vottorð strax læst og ekki er hægt að ræsa hana úr Explorer. Að auki, í sumum stofnunum er almennt bannað að keyra óundirritaðan kóða (stillt með kerfisverkfærum), og það er réttlætanlegt - allir venjulegir forritarar hafa lengi séð til þess að hægt sé að athuga forrit þeirra án frekari fyrirhafnar.
Almennt séð hefur rétta átt verið valin - að því marki sem hægt er, gera internetið eins öruggt og mögulegt er fyrir óreynda notendur. Hins vegar er framkvæmdin sjálf enn langt frá því að vera ákjósanleg. Einfaldur verktaki getur ekki einfaldlega fengið skírteini, það verður að kaupa það af fyrirtækjum sem hafa einokað þennan markað og ákveða kjör sín á honum. En hvað ef forritin eru ókeypis? Öllum er sama. Þá hefur verktaki val - að sanna stöðugt öryggi forrita sinna, fórna þægindum notenda, eða kaupa skírteini. Fyrir þremur árum skilaði StartCom, sem nú býr á botni hafsins, hagnaði, það hafa aldrei verið nein vandamál með þau. Í augnablikinu er lágmarksverð veitt af Comodo, en eins og það kemur í ljós er það gripur - fyrir þá er verktaki bókstaflega enginn og að svindla á honum er eðlileg framkvæmd.
Eftir næstum árs notkun á skírteininu sem ég keypti um mitt ár 2018, afturkallaði Comodo það skyndilega án fyrirvara með pósti eða síma án skýringa. Tækniaðstoð þeirra virkar ekki vel - þeir svara kannski ekki í viku, en samt tókst þeim að komast að aðalástæðunni - þeir töldu að útgefið vottorð væri undirritað af spilliforritum. Og sagan hefði getað endað þar, ef ekki væri eitt - ég hef aldrei búið til spilliforrit og mínar eigin verndaraðferðir leyfa mér að segja að það sé ómögulegt að stela einkalyklinum mínum. Aðeins Comodo hefur afrit af lyklinum vegna þess að þeir gefa hann út án CSR. Og svo - næstum tvær vikur af misheppnuðum tilraunum til að komast að grunnsönnuninni. Fyrirtækið, sem á að ábyrgjast öryggisvernd, neitaði alfarið að leggja fram sannanir um brot á reglum þeirra.
Frá síðasta spjalli með tækniaðstoðÞú 01:20
Þú hefur skrifað „Við kappkostum að svara stöðluðum stuðningsmiðum innan sama virka dags. en ég er búinn að bíða eftir svari í viku núna.
Vinson 01:20
Hæ, velkomin í Sectigo SSL staðfestingu!
Leyfðu mér að athuga stöðu málsins þíns, vinsamlegast bíddu í eina mínútu.
Ég hef athugað og pöntunin hefur verið afturkölluð vegna spilliforrita/svika/vefveiða af æðra embættismanni okkar.
Þú 01:28
Ég er viss um að þetta eru mistök þín, svo ég bið um sönnun.
Ég hef aldrei verið með spilliforrit/svik/veðveiðar.
Vinson 01:30
Fyrirgefðu, Alexander. Ég hef athugað og pöntunin hefur verið afturkölluð vegna spilliforrita/svika/vefveiða af æðra embættismanni okkar.
Þú 01:31
Í hvaða skrá sástu vírusinn? Er einhver linkur á virustotal? Ég samþykki ekki svar þitt því það er engin sönnun í því. Ég borgaði peninga fyrir þetta skírteini og ég á rétt á að vita hvers vegna peningarnir mínir eru teknir af mér með valdi.
Ef þú getur ekki lagt fram sönnun, þá var vottorðið afturkallað á ósanngjarnan hátt og verður að skila peningunum. Annars, hvaða merkingu hefur starf þitt ef þú afturkallar vottorð án sönnunar?
Vinson 01:34
Ég skil áhyggjur þínar. Tilkynnt hefur verið um kóðaundirritunarvottorð fyrir að dreifa spilliforritum. Samkvæmt leiðbeiningum iðnaðarins: Sectigo sem vottunaryfirvöldum er skylt að afturkalla vottorðið.
Einnig samkvæmt endurgreiðslustefnu munum við ekki geta endurgreitt eftir 30 daga frá útgáfudegi.
Þú 01:35
Af hverju heldurðu að þetta séu ekki mistök eða rangt jákvætt?
Vinson 01:36
Fyrirgefðu, Alexander. Samkvæmt skýrslu æðstu embættismanna okkar hefur pöntunin verið afturkölluð vegna spilliforrita/svika/veiðveiða.
Þú 01:37
Engin þörf á að biðjast afsökunar, ég borgaði peningana og ég vil sjá sannanir fyrir því að ég hafi brotið reglurnar þínar. Það er einfalt.
Ég borgaði í þrjú ár, svo komstu með ástæðu og skildir eftir mig án vottorðs og án sönnunar fyrir sekt minni.
Vinson 01:43
Ég skil áhyggjur þínar. Tilkynnt hefur verið um kóðaundirritunarvottorð fyrir að dreifa spilliforritum. Samkvæmt leiðbeiningum iðnaðarins: Sectigo sem vottunaryfirvöldum er skylt að afturkalla vottorðið.
Þú 01:45
Það virðist sem þú skiljir það ekki. Hvar sástu dómstólinn sem fellir dóminn án sönnunar? Þú gerðir einmitt það. Ég hef aldrei fengið malware. Af hverju færðu ekki sönnun ef svo er? Hvaða sérstaka sönnun er afturköllun skírteinis?
Vinson 01:46
Fyrirgefðu, Alexander. Samkvæmt skýrslu æðstu embættismanna okkar hefur pöntunin verið afturkölluð vegna spilliforrita/svika/veiðveiða.
Þú 01:47
Hver get ég fundið út raunverulega ástæðu þess að afturkalla vottorðið?
Ef þú getur ekki svarað, segðu mér þá við hvern ég á að hafa samband?
Vinson 01:48
Vinsamlegast sendu inn miða aftur með því að nota tengilinn hér að neðan svo þú ættir að fá svar eins fyrr og hægt er.
Þú 01:48
Þakka þér.
Þessi niðurstaða er ekki einangruð, allan samningatímann í spjallinu, í besta falli, svara þeir því sama, miðum er annað hvort alls ekki svarað eða svörin eru jafn ónýt.
Ég er að búa til miða afturBeiðni mín:
Ég krefst sönnunar fyrir því að ég hafi brotið reglu sem leiddi til afturköllunar. Ég keypti skírteini og vil vita hvers vegna peningarnir mínir eru teknir af mér.
"malware/svik/phishing" er ekki svarið! Í hvaða skrá sástu vírusinn? Er einhver linkur á virustotal? Vinsamlegast gefðu sönnun eða skilaðu peningunum, ég er þreyttur á að skrifa tæknilega aðstoð og hef beðið í meira en viku.
Þakka þér.
Svar þeirra:
Tilkynnt hefur verið um kóðaundirritunarvottorð fyrir að dreifa spilliforritum. Samkvæmt leiðbeiningum iðnaðarins: Sectigo sem vottunaryfirvöldum er skylt að afturkalla vottorðið.
Vonin um að það sé ekki apinn sem svari mér er algjörlega úti. Áhugaverð skýringarmynd kemur í ljós:
- Við seljum skírteini.
- Við höfum beðið í meira en sex mánuði þannig að það er ómögulegt að opna ágreining í gegnum PayPal.
- Við erum að innkalla og bíðum eftir næstu pöntun. Hagnaður!
Þar sem ég hef engar aðrar aðferðir til að hafa áhrif á þá get ég aðeins gert svik þeirra opinberlega. Þegar þú kaupir vottorð frá Comodo, einnig þekkt sem Sectigo, gætir þú lent í sömu aðstæðum.
Uppfært 9. júní:
Í dag tilkynnti ég CodeSignCert (fyrirtækinu sem ég keypti skírteinið í gegnum) að síðan þeir hættu að svara, hef ég tekið stöðuna til opinberrar umræðu með tengli á þessa grein. Eftir nokkurn tíma sendu þeir loksins skjáskot af virustotal, þar sem hassið var sýnilegt :
VirusTotal -
Mitt mat á stöðunni:
Ég get sagt með vissu að þetta er rangt jákvætt. Merki:
- Tilnefning Almenn í flestum tilfellum.
- Engar greiningar frá vírusvarnarleiðtogum.
Það er erfitt að segja til um hvað nákvæmlega olli slíkum viðbrögðum frá vírusvörnunum, en þar sem skráin er mjög gamaldags (hún var búin til fyrir tæpu ári síðan) var ég ekki með frumkóðann af útgáfu 1.6.1 vistaður til að endurgera skrána tvíundarlega. . Hins vegar er ég með nýjustu útgáfuna 1.6.5 og miðað við óbreytanleika aðalútibúsins voru lágmarksbreytingar gerðar þar, en það eru engar slíkar rangar jákvæðar:
VirusTotal -
CodeSignCert hefur verið tilkynnt um falska jákvæðuna; þegar frekari niðurstöður samningaviðræðnanna liggja fyrir verður greinin uppfærð þar til ástandið er að fullu leyst.
Heimild: www.habr.com