ProHoster > Блог > Administrasi > Comodo mbatalake sertifikat tanpa alasan

Comodo mbatalake sertifikat tanpa alasan

Apa sampeyan bisa mbayangno manawa perusahaan gedhe bakal ngapusi para pelanggan, utamane yen perusahaan iki dadi penjamin keamanan? Dadi aku ora bisa nganti bubar. Artikel iki minangka peringatan kanggo mikir kaping pindho sadurunge tuku sertifikat tandha kode saka Comodo.

Minangka bagéan saka proyek (administrasi sistem), aku nggawe macem-macem program migunani sing aktif digunakake ing karya dhewe, lan ing wektu sing padha ngirim gratis kanggo kabeh wong. Kira-kira telung taun kepungkur, ana perlu kanggo mlebu program, yen ora kabeh klien lan pangguna bisa ngundhuh tanpa masalah mung amarga padha ora mlebu. Tandha tandha wis suwe dadi praktik normal lan ora preduli manawa program kasebut aman, nanging yen ora ditandatangani, mesthi bakal tambah perhatian:

  1. Browser ngumpulake statistik babagan sepira kerepe file diundhuh, lan nalika ora ditandatangani, ing tahap wiwitan bisa uga diblokir "ing kasus" lan mbutuhake konfirmasi eksplisit saka pangguna kanggo nyimpen. Algoritma kasebut beda-beda, kadhangkala domain kasebut dianggep dipercaya, nanging umume minangka tandha sing bener sing ngonfirmasi keamanan.
  2. Sawise diundhuh, file kasebut dideleng dening antivirus lan langsung sadurunge OS kasebut diwiwiti. Kanggo antivirus, teken uga penting, iki bisa gampang dideleng ing virustotal, lan kanggo OS, diwiwiti karo Win10, file kanthi sertifikat sing dicabut langsung diblokir lan ora bisa diluncurake saka Explorer. Kajaba iku, ing sawetara organisasi umume dilarang kanggo mbukak kode unsigned (dikonfigurasi nggunakake piranti sistem), lan iki sabdho - kabeh pangembang normal wis dawa nggawe manawa program sing bisa dicenthang tanpa gaweyan tambahan.

Umumé, arah sing bener wis dipilih - nganti bisa, nggawe Internet dadi aman kanggo pangguna sing ora duwe pengalaman. Nanging, implementasine dhewe isih adoh saka ideal. Pangembang sing prasaja ora mung entuk sertifikat; kudu dituku saka perusahaan sing wis monopoli pasar iki lan ndhikte syarat kasebut. Nanging kepiye yen program kasebut gratis? Ora ono sing peduli. Banjur pangembang duwe pilihan - kanggo terus-terusan mbuktekake keamanan program, ngorbanake kenyamanan pangguna, utawa tuku sertifikat. Telung taun kepungkur, StartCom, sing saiki manggon ing dhasar segara, duwe bathi; ora ana masalah karo dheweke. Ing wayahe, rega minimal diwenehake dening Comodo, nanging, kang dadi metu, ana nyekel - kanggo wong-wong mau pangembang punika secara harfiah ora ana lan mbeling ing wong iku laku normal.

Sawise meh setaun nggunakake sertifikat sing dituku ing pertengahan 2018, dumadakan, tanpa kabar sadurunge liwat surat utawa telpon, Comodo mbatalake tanpa panjelasan. Dhukungan teknis ora bisa digunakake kanthi apik - bisa uga ora nanggapi sajrone seminggu, nanging isih bisa ngerteni sebab utama - dheweke nganggep sertifikat sing ditanggepi ditandatangani dening malware. Lan critane bisa rampung ing kana, yen ora ana siji-sijine - aku durung nate nggawe malware, lan cara perlindunganku dhewe ngidini aku ujar manawa ora mungkin nyolong kunci pribadi. Mung Comodo duwe salinan kunci amarga ngetokake tanpa CSR. Lan banjur - meh rong minggu nyoba gagal kanggo nemokake bukti dhasar. Perusahaan kasebut, sing mesthine njamin perlindungan keamanan, ora gelem menehi bukti nglanggar aturan kasebut.

Saka chatting pungkasan karo technical supportSampeyan 01:20
Sampeyan wis nulis "Kita nyoba nanggapi tiket dhukungan standar ing dina bisnis sing padha." nanging aku wis nunggu respon kanggo minggu saiki.

Vinson 01:20
Halo, Sugeng rawuh ing Validasi SSL Sectigo!
Ayo kula mriksa status kasus sampeyan, tulung sedhela.
Aku wis mriksa lan pesenan wis dicabut amarga malware / penipuan / phishing dening pejabat sing luwih dhuwur.

Sampeyan 01:28
Aku yakin iki salahmu, mula aku njaluk bukti.
Aku ora tau ngalami malware/penipuan/phishing.

Vinson 01:30
Ngapunten, Alexander. Aku wis mriksa kaping pindho lan pesenan wis dicabut amarga malware / penipuan / phishing dening pejabat sing luwih dhuwur.

Sampeyan 01:31
Ing file endi sampeyan ndeleng virus? Apa ana link menyang virustotal? Aku ora nampa jawaban sampeyan amarga ora ana buktine. Aku mbayar dhuwit kanggo sertifikat iki lan aku duwe hak ngerti sebabe dhuwitku dijupuk saka aku kanthi paksa.
Yen sampeyan ora bisa menehi bukti, sertifikat kasebut dicabut kanthi ora adil lan kudu mbalekake dhuwit. Yen ora, apa tegese karya sampeyan yen sampeyan mbatalake sertifikat tanpa bukti?

Vinson 01:34
Aku ngerti prihatinmu. Sertifikat tandha kode wis dilaporake kanggo nyebarake malware. Minangka pedoman industri: Sectigo minangka Otoritas Sertifikat dibutuhake kanggo mbatalake sertifikat kasebut.
Uga miturut kabijakan mbalekaken, kita ora bakal bisa mbalekaken sawise 30 dina saka tanggal masalah.

Sampeyan 01:35
Apa sampeyan mikir iki dudu kesalahan utawa positif palsu?

Vinson 01:36
Ngapunten, Alexander. Miturut laporan pejabat sing luwih dhuwur, pesenan kasebut wis dibatalake amarga ana malware/penipuan/phishing.

Sampeyan 01:37
Ora perlu njaluk ngapura, aku mbayar dhuwit lan aku pengin ndeleng bukti yen aku nglanggar aturan sampeyan. Iku prasaja.
Aku mbayar telung taun, banjur sampeyan nggawe alesan lan ninggalake aku tanpa sertifikat lan tanpa bukti kesalahanku.

Vinson 01:43
Aku ngerti prihatinmu. Sertifikat tandha kode wis dilaporake kanggo nyebarake malware. Minangka pedoman industri: Sectigo minangka Otoritas Sertifikat dibutuhake kanggo mbatalake sertifikat kasebut.

Sampeyan 01:45
Kayane sampeyan ora ngerti. Ing endi sampeyan ndeleng pengadilan sing menehi ukuman tanpa bukti? Sampeyan nindakake mung sing. Aku wis tau malware. Apa sampeyan ora menehi bukti yen bener? Apa bukti spesifik yaiku pencabutan sertifikat?

Vinson 01:46
Ngapunten, Alexander. Miturut laporan pejabat sing luwih dhuwur, pesenan kasebut wis dibatalake amarga ana malware/penipuan/phishing.

Sampeyan 01:47
Sapa sing bisa ngerteni alasan nyata kanggo mbatalake sertifikat kasebut?
Yen sampeyan ora bisa mangsuli, ngomong sapa sing kudu dihubungi?

Vinson 01:48
Mangga ngirim tiket maneh nggunakake link ing ngisor iki supaya sampeyan kudu nampa respon minangka sadurungé sabisa.
sectigo.com/support-ticket

Sampeyan 01:48
Matur nuwun.
Asil iki ora diisolasi, kabeh wektu rembugan ing chatting, ing paling apik, padha mangsuli bab sing padha, karcis salah siji ora mangsuli ing kabeh, utawa jawaban mung minangka guna.

Aku nggawe tiket manehPanjalukku:
Aku mbutuhake bukti yen aku nglanggar aturan sing nyebabake pencabutan. Aku tuku sertifikat lan pengin ngerti sebabe dhuwitku dijupuk saka aku.
"malware/penipuan/phishing" dudu jawaban! Ing file endi sampeyan ndeleng virus? Apa ana link menyang virustotal? Mangga wenehi bukti utawa mbalekake dhuwit, aku kesel nulis dhukungan teknis lan ngenteni luwih saka seminggu.
Matur nuwun.

Wangsulane:
Sertifikat tandha kode wis dilaporake kanggo nyebarake malware. Minangka pedoman industri: Sectigo minangka Otoritas Sertifikat dibutuhake kanggo mbatalake sertifikat kasebut.
Pangarep-arep yen dudu kethek sing bakal mangsuli aku ilang. Diagram sing menarik muncul:

  1. We ngedol sertifikat.
  2. Kita wis ngenteni luwih saka nem sasi supaya ora bisa mbukak regejegan liwat PayPal.
  3. Kita ngelingi lan ngenteni pesenan sabanjure. bathi!

Amarga aku ora duwe cara liya kanggo pengaruhe, aku mung bisa nggawe penipuan kasebut umum. Nalika tuku sertifikat saka Comodo, uga dikenal minangka Sectigo, sampeyan bisa uga nemoni kahanan sing padha.

Nganyari 9 Juni:
Dina iki aku ngandhani CodeSignCert (perusahaan sing aku tuku sertifikat) yen wiwit mandheg nanggapi, aku wis nggawa kahanan kasebut kanggo diskusi umum kanthi link menyang artikel iki. Sawise sawetara wektu, pungkasane ngirim gambar saka virustotal, ing ngendi program hash katon EzvitUpd:
VirusTotal - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Evaluasi kahananku:
Aku bisa ngomong kanthi yakin manawa iki positif palsu. pratandha:

  1. Sebutan Generik ing akeh kasus.
  2. Ora ana deteksi saka pimpinan antivirus.

Iku angel ngomong apa persis sing nyebabake reaksi kasebut saka antivirus, nanging amarga file kasebut wis lawas banget (digawe meh setaun kepungkur), aku ora duwe kode sumber versi 1.6.1 sing disimpen kanggo nggawe ulang file binar. . Nanging, aku duwe versi paling anyar 1.6.5, lan diwenehi immutability saka cabang utama, owah-owahan minimal digawe ana, nanging ora ana positif palsu kuwi:
VirusTotal - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

CodeSignCert wis dilaporake babagan positif palsu; yen asil rembugan luwih kasedhiya, artikel kasebut bakal dianyari nganti kahanan wis rampung.

Source: www.habr.com

Add a comment