Үлкен компания өз тұтынушыларын алдайды деп елестете аласыз ба, әсіресе бұл компания өзін қауіпсіздік кепілі ретінде көрсетсе? Сондықтан мен соңғы уақытқа дейін алмадым. Бұл мақала Comodo-дан кодқа қол қою сертификатын сатып алмас бұрын екі рет ойлану керектігі туралы ескерту.
Жұмысымның (жүйелік әкімшілендірудің) бір бөлігі ретінде мен өз жұмысымда белсенді түрде қолданатын әртүрлі пайдалы бағдарламаларды жасаймын және сонымен бірге оларды барлығына тегін жариялаймын. Шамамен үш жыл бұрын бағдарламаларға қол қою қажеттілігі туындады, әйтпесе менің барлық клиенттерім мен пайдаланушыларым қол қойылмағандықтан оларды қиындықсыз жүктеп ала алмады. Қол қою бұрыннан қалыпты тәжірибе болды және бағдарлама қаншалықты қауіпсіз болса да, бірақ оған қол қойылмаса, оған назар аударылатыны сөзсіз:
- Браузер файлдың қаншалықты жиі жүктелетіні туралы статистиканы жинайды және оған қол қойылмаған кезде, бастапқы кезеңде оны «қандай жағдайда болса да» блоктауға болады және сақтау үшін пайдаланушыдан нақты растауды талап етеді. Алгоритмдер әртүрлі, кейде домен сенімді деп саналады, бірақ тұтастай алғанда бұл қауіпсіздікті растайтын жарамды қолтаңба.
- Жүктеп алғаннан кейін файл антивируспен және ОЖ өзі іске қосылмай тұрып қаралады. Антивирустар үшін қолтаңба да маңызды, оны virustotal-да оңай көруге болады, ал ОЖ-ға келетін болсақ, Win10-дан бастап, күші жойылған сертификаты бар файл дереу блокталады және оны Explorer-ден іске қосу мүмкін емес. Сонымен қатар, кейбір ұйымдарда әдетте қол қойылмаған кодты іске қосуға тыйым салынады (жүйелік құралдар арқылы конфигурацияланған) және бұл негізделген - барлық қалыпты әзірлеушілер өздерінің бағдарламаларын қосымша күш жұмсамай-ақ тексеруге болатынына көптен көз жеткізген.
Жалпы алғанда, дұрыс бағыт таңдалды - мүмкіндігінше, тәжірибесіз пайдаланушылар үшін Интернетті мүмкіндігінше қауіпсіз ету. Дегенмен, іске асырудың өзі әлі идеалдан алыс. Қарапайым әзірлеуші жай ғана сертификат ала алмайды, оны осы нарықты монополиялаған және оған өз шарттарын белгілеген компаниялардан сатып алу керек. Бірақ бағдарламалар тегін болса ше? Ешкім ойламайды. Содан кейін әзірлеушінің таңдауы бар - пайдаланушылардың ыңғайлылығын құрбан ете отырып, өз бағдарламаларының қауіпсіздігін үнемі дәлелдеу немесе сертификат сатып алу. Үш жыл бұрын, қазір мұхит түбінде тұратын StartCom табысты болды, олармен ешқашан проблема болған емес. Қазіргі уақытта ең төменгі бағаны Comodo қамтамасыз етеді, бірақ белгілі болғандай, олар үшін әзірлеуші сөзбе-сөз ешкім емес және оны алдау қалыпты тәжірибе.
Мен 2018 жылдың ортасында сатып алған сертификатты бір жылға жуық пайдаланғаннан кейін, кенеттен пошта немесе телефон арқылы алдын ала ескертусіз Comodo оны түсіндірместен қайтарып алды. Олардың техникалық қолдауы жақсы жұмыс істемейді - олар бір апта бойы жауап бермеуі мүмкін, бірақ олар бәрібір негізгі себебін анықтай алды - олар берілген сертификатқа зиянды бағдарлама қол қойған деп есептеді. Бір нәрсе болмаса, оқиға осымен аяқталуы мүмкін еді - мен ешқашан зиянды бағдарлама жасаған емеспін және менің жеке қорғау әдістерім менің жеке кілтімді ұрлау мүмкін емес деп айтуға мүмкіндік береді. Тек Comodo-да кілттің көшірмесі бар, өйткені олар оларды CSRсіз шығарады. Содан кейін - қарапайым дәлелді табуға екі аптаға жуық сәтсіз әрекеттер. Қауіпсіздікті қорғауға кепілдік беретін компания олардың ережелерін бұзу туралы дәлелдерді ұсынудан үзілді-кесілді бас тартты.
Техникалық қолдау қызметімен соңғы сөйлесуденСіз 01:20
Сіз «Бір жұмыс күні ішінде стандартты қолдау билеттеріне жауап беруге тырысамыз» деп жаздыңыз. бірақ бір аптадан бері жауап күтіп жүрмін.
Винсон 01:20
Сәлем, Sectigo SSL тексеруіне қош келдіңіз!
Ісіңіздің күйін тексеруге рұқсат етіңіз, бір минут күте тұрыңыз.
Мен тексердім және жоғары лауазымды тұлғаның зиянды бағдарлама/алаяқтық/фишингке байланысты тапсырыс күшін жойды.
Сіз 01:28
Бұл сіздің қателігіңіз екеніне сенімдімін, сондықтан мен дәлел сұраймын.
Менде ешқашан зиянды бағдарлама/алаяқтық/фишинг болған емес.
Винсон 01:30
Кешіріңіз, Александр. Мен екі рет тексердім және жоғары лауазымды тұлғаның зиянды бағдарлама/алаяқтық/фишингке байланысты тапсырыс күшін жойды.
Сіз 01:31
Вирусты қай файлда көрдіңіз? Virtotal сілтемесі бар ма? Мен сіздің жауабыңызды қабылдамаймын, өйткені онда ешқандай дәлел жоқ. Мен бұл анықтама үшін ақша төледім және менің ақшамды неліктен күшпен тартып алғанын білуге құқығым бар.
Егер сіз дәлелдеме бере алмасаңыз, онда куәлік әділетсіз түрде жойылды және ақшаны қайтару керек. Әйтпесе, куәліктерді дәлелсіз қайтарып алсаңыз, жұмысыңыздың мәні неде?
Винсон 01:34
Мен сіздің уайымыңызды түсінемін. Зиянды бағдарламаны тарату үшін кодқа қол қою сертификаты хабарланды. Салалық нұсқауларға сәйкес: Сертификат орталығы ретінде Sectigo сертификатты қайтарып алу үшін қажет.
Сондай-ақ қайтару саясатына сәйкес, біз ақшаны шығарған күннен бастап 30 күннен кейін қайтара алмаймыз.
Сіз 01:35
Неліктен бұл қате немесе жалған позитив емес деп ойлайсыз?
Винсон 01:36
Кешіріңіз, Александр. Біздің жоғары лауазымды тұлғалардың хабарлауынша, бұйрық зиянды бағдарлама/алаяқтық/фишингке байланысты жойылды.
Сіз 01:37
Кешірім сұраудың қажеті жоқ, мен ақшаны төледім және сіздің ережелеріңізді бұзғанымды дәлелдегім келеді. Бұл қарапайым.
Үш жыл төледім, сосын сен себеп тауып, мені куәліксіз, кінәмді дәлелдемей тастап кеттің.
Винсон 01:43
Мен сіздің уайымыңызды түсінемін. Зиянды бағдарламаны тарату үшін кодқа қол қою сертификаты хабарланды. Салалық нұсқауларға сәйкес: Сертификат орталығы ретінде Sectigo сертификатты қайтарып алу үшін қажет.
Сіз 01:45
Сіз түсінбейтін сияқтысыз. Дәлелсіз үкім шығаратын сотты қайдан көрдіңіз? Сіз дәл солай істедіңіз. Менде ешқашан зиянды бағдарлама болған емес. Бар болса, неге дәлелдемесіңдер? Сертификаттың күшін жою қандай нақты дәлел болып табылады?
Винсон 01:46
Кешіріңіз, Александр. Біздің жоғары лауазымды тұлғалардың хабарлауынша, бұйрық зиянды бағдарлама/алаяқтық/фишингке байланысты жойылды.
Сіз 01:47
Куәлікті қайтарып алудың нақты себебін кімнен біле аламын?
Жауап бере алмасаңыз, кімге хабарласу керектігін айтыңызшы?
Винсон 01:48
Жауапты мүмкіндігінше ертерек алу үшін төмендегі сілтеме арқылы билетті қайта жіберіңіз.
Сіз 01:48
Рақмет сізге.
Бұл нәтиже оқшауланбайды, чатта келіссөздердің барлық уақыты, ең жақсысы, олар бірдей жауап береді, билеттер не мүлдем жауап бермейді, немесе жауаптар дәл солай пайдасыз.
Мен қайтадан билет жасап жатырмынМенің өтінішім:
Мен күшін жоюға әкелген ережені бұзғанымды дәлелдеуді талап етемін. Мен сертификат сатып алдым және менің ақшамды не үшін тартып алғанын білгім келеді.
«зиянды бағдарлама/алаяқтық/фишинг» жауап емес! Вирусты қай файлда көрдіңіз? Virtotal сілтемесі бар ма? Дәлелдеме беріңіз немесе ақшаны қайтарыңыз, мен техникалық қолдау жазудан шаршадым және бір аптадан астам уақыт күттім.
Рақмет сізге.
Олардың жауабы:
Зиянды бағдарламаны тарату үшін кодқа қол қою сертификаты хабарланды. Салалық нұсқауларға сәйкес: Сертификат орталығы ретінде Sectigo сертификатты қайтарып алу үшін қажет.
Маған жауап беретін маймыл емес деген үміт мүлде үзілді. Қызықты диаграмма пайда болады:
- Біз сертификат сатамыз.
- Біз алты айдан астам уақыт күттік, сондықтан PayPal арқылы дауды ашу мүмкін емес.
- Біз келесі тапсырысты еске түсіріп, күтеміз. Пайда!
Менде оларға әсер етудің басқа әдістері болмағандықтан, мен олардың алаяқтықтарын жария ете аламын. Sectigo деп те аталатын Comodo сертификатын сатып алғанда, сіз дәл осындай жағдайға тап болуыңыз мүмкін.
9 маусымда жаңарту:
Бүгін мен CodeSignCert (сертификат сатып алған компания) олар жауап беруді тоқтатқандықтан, мен жағдайды осы мақаланың сілтемесі арқылы қоғамдық талқылауға шығарғанымды хабарладым. Біраз уақыттан кейін олар бағдарлама хэші көрінетін virustotal скриншотын жіберді :
VirusTotal -
Жағдайды бағалауым:
Бұл жалған позитив деп сеніммен айта аламын. Белгілері:
- Белгілеу Көп жағдайда жалпы.
- Антивирус жетекшілері анықтаған жоқ.
Антивирустардың мұндай реакциясын нақты неден тудырғанын айту қиын, бірақ файл өте ескіргендіктен (ол бір жыл бұрын жасалған), менде файлды екілік қайта құру үшін сақталған 1.6.1 нұсқасының бастапқы коды болмады. . Дегенмен, менде соңғы 1.6.5 нұсқасы бар және негізгі тармақтың өзгермейтіндігін ескере отырып, онда минималды өзгерістер енгізілді, бірақ мұндай жалған позитивтер жоқ:
VirusTotal -
CodeSignCert жалған позитив туралы ескертілді; келіссөздердің келесі нәтижелері қол жетімді болғаннан кейін мақала жағдай толығымен шешілгенше жаңартылады.
Ақпарат көзі: www.habr.com