Kënnt Dir Iech virstellen datt eng grouss Firma hir Clienten täuscht, besonnesch wann dës Firma sech als Garant vun der Sécherheet positionéiert? Also ech konnt net bis viru kuerzem. Dësen Artikel ass eng Warnung zweemol ze denken ier Dir e Code Ënnerschrëft Zertifikat vu Comodo kaaft.
Als Deel vu menger Aarbecht (Systemverwaltung) maachen ech verschidde nëtzlech Programmer, déi ech aktiv a menger eegener Aarbecht benotzen, a gläichzäiteg posten ech se gratis fir jiddereen. Virun ongeféier dräi Joer war et néideg Programmer z'ënnerschreiwen, soss konnten net all meng Clienten a Benotzer se ouni Probleemer eroflueden just well se net ënnerschriwwe goufen. Ënnerschreiwe war laang eng normal Praxis an egal wéi sécher e Programm ass, awer wann et net ënnerschriwwe gëtt, gëtt et definitiv méi Opmierksamkeet drop:
- De Browser sammelt Statistiken iwwer wéi dacks e Fichier erofgeluede gëtt, a wann et net ënnerschriwwe gëtt, kann se an der éischter Etapp souguer "just am Fall" blockéiert ginn an eng explizit Bestätegung vum Benotzer erfuerderen fir ze späicheren. D'Algorithmen sinn ënnerschiddlech, heiansdo gëtt d'Domain als vertraut ugesinn, awer allgemeng ass et eng valabel Ënnerschrëft déi d'Sécherheet bestätegt.
- Nom Download gëtt d'Datei vum Antivirus gekuckt an direkt virum OS selwer ufänkt. Fir Antivirusen ass d'Ënnerschrëft och wichteg, dëst kann einfach op Virustotal gesi ginn, a wat den OS ugeet, ugefaange mat Win10, gëtt e Fichier mat engem zréckgezunnen Zertifikat direkt blockéiert a kann net vum Explorer gestart ginn. Zousätzlech, an e puer Organisatiounen ass et allgemeng verbueden unsigned Code ze lafen (konfiguréiert mat System Handwierksgeschir), an dat ass gerechtfäerdegt - all normal Entwéckler hunn laang gesuergt, datt hir Programmer ouni zousätzlech Effort iwwerpréift ginn.
Am Allgemengen ass déi richteg Richtung gewielt ginn - sou wäit wéi méiglech, fir den Internet sou sécher wéi méiglech fir onerfueren Benotzer ze maachen. Allerdéngs ass d'Ëmsetzung selwer nach wäit vun ideal. En einfachen Entwéckler kann net einfach e Certificat kréien; et muss vu Firmen kaaft ginn, déi dëse Maart monopoliséiert hunn an hir Konditioune drop diktéieren. Awer wat wann d'Programmer gratis sinn? Keen egal. Dann huet den Entwéckler e Choix - stänneg d'Sécherheet vu senge Programmer ze beweisen, d'Kamoudheet vun de Benotzer opferen oder e Certificat ze kafen. Virun dräi Joer war StartCom, deen elo um Enn vum Ozean lieft, rentabel, et waren nach ni Problemer mat hinnen. Am Moment gëtt de Mindestpräis vum Comodo zur Verfügung gestallt, awer, wéi et sech erausstellt, ass et e Fang - fir si ass den Entwéckler wuertwiertlech keen an hien ass normal Praxis.
No bal engem Joer vum Zertifika ze benotzen, deen ech Mëtt 2018 kaaft hunn, huet de Comodo op eemol, ouni Préavis per Mail oder Telefon, en ouni Erklärung zréckgezunn. Hir technesch Ënnerstëtzung funktionnéiert net gutt - si äntweren vläicht net fir eng Woch, awer si hunn et nach ëmmer fäerdeg bruecht den Haaptgrond erauszefannen - si hu geduecht datt de erausginn Zertifika vu Malware ënnerschriwwe gouf. An d'Geschicht kéint do opgehalen hunn, wann net fir eng Saach - ech hunn ni Malware erstallt, a meng eege Schutzmethoden erlaben mir ze soen datt et onméiglech ass mäi private Schlëssel ze klauen. Nëmme Comodo huet eng Kopie vum Schlëssel well se se ouni CSR erausginn. An dann - bal zwou Woche vun Mëssgléckt Versich der elementar Beweis erauszefannen. D'Firma, déi vermeintlech Sécherheetsschutz garantéiert, refuséiert éierlech Beweiser fir Verstouss géint hir Regelen ze ginn.
Vum leschte Chat mat technescher ËnnerstëtzungDir 01:20
Dir hutt geschriwwen "Mir beméien eis op Standard Support Ticketen am selwechten Aarbechtsdag ze reagéieren." mee ech gewaart elo eng Äntwert fir eng Woch.
Vinson 01:20
Salut, Wëllkomm op Sectigo SSL Validatioun!
Loosst mech Äre Fallstatus kontrolléieren, halt w.e.g. eng Minutt.
Ech hu gepréift an d'Bestellung gouf zréckgezunn wéinst Malware / Bedruch / Phishing vun eisem héije Beamten.
Dir 01:28
Ech si sécher datt dëst Äre Feeler ass, also froen ech fir Beweiser.
Ech hat ni Malware / Bedruch / Phishing.
Vinson 01:30
Et deet mir leed, Alexander. Ech hunn duebel gepréift an d'Bestellung gouf zréckgezunn wéinst Malware / Bedruch / Phishing vun eisem héije Beamten.
Dir 01:31
A wéi engem Fichier hutt Dir de Virus gesinn? Gëtt et e Link op Virustotal? Ech akzeptéieren Är Äntwert net well et kee Beweis dran ass. Ech hunn Sue fir dësen Zertifika bezuelt an ech hunn d'Recht ze wëssen firwat meng Sue mir mat Gewalt ofgeholl ginn.
Wann Dir kee Beweis liwwere kënnt, da gouf den Zertifika ongerecht zréckgezunn a muss d'Suen zréckginn. Soss, wat ass d'Bedeitung vun Ärer Aarbecht wann Dir Zertifikater ouni Beweis zréckzitt?
Vinson 01:34
Ech verstinn Är Suerg. De Code Ënnerschrëft Zertifika gouf gemellt fir Malware ze verdeelen. Geméiss d'Industrie Richtlinnen: Sectigo als Zertifizéierungsautoritéit ass verlaangt den Zertifika zréckzezéien.
Och wéi pro Remboursement Politik, mir wäerten net fäheg sinn ze Remboursement no 30 Deeg aus Datum vun der erausginn.
Dir 01:35
Firwat mengt Dir datt dëst net e Feeler oder eng falsch Positiv ass?
Vinson 01:36
Et deet mir leed, Alexander. Laut eisen héije Beamten Bericht, ass d'Bestellung zréckgezunn wéinst Malware / Bedruch / Phishing.
Dir 01:37
Net néideg ze entschëllegen, ech hunn d'Suen bezuelt an ech wëll Beweis gesinn datt ech Är Reegele verletzt hunn. Et ass einfach.
Ech hu fir dräi Joer bezuelt, du bass du mat engem Grond komm an huet mech ouni Zertifikat an ouni Beweis vu menger Schold gelooss.
Vinson 01:43
Ech verstinn Är Suerg. De Code Ënnerschrëft Zertifika gouf gemellt fir Malware ze verdeelen. Geméiss d'Industrie Richtlinnen: Sectigo als Zertifizéierungsautoritéit ass verlaangt den Zertifika zréckzezéien.
Dir 01:45
Et schéngt, datt Dir et net versteet. Wou hutt Dir d'Geriicht gesinn, deen de Saz ouni Beweis ofleet? Dir hutt just dat gemaach. Ech hat ni Malware. Firwat gitt Dir kee Beweis wann et ass? Wéi eng spezifesch Beweis ass e Zertifikat Réckzuch?
Vinson 01:46
Et deet mir leed, Alexander. Laut eisen héije Beamten Bericht, ass d'Bestellung zréckgezunn wéinst Malware / Bedruch / Phishing.
Dir 01:47
Wien kann ech de richtege Grond fir d'Zertifikat zréckzéien erauszefannen?
Wann Dir net äntweren kënnt, sot mir, wien ech kontaktéiere soll?
Vinson 01:48
Gitt w.e.g. nach eng Kéier en Ticket of mat de Link hei ënnen fir datt Dir eng Äntwert sou fréi wéi méiglech kritt.
Dir 01:48
Merci.
Dëst Resultat ass net isoléiert, all Zäit vun Verhandlungen am Chat, am beschten, äntweren se déi selwecht Saach, Ticketen sinn entweder guer net geäntwert, oder d'Äntwerten si grad esou nëtzlos.
Ech schafen nees en TicketMeng Ufro:
Ech verlaangen de Beweis datt ech eng Regel verletzt hunn, déi zu Réckzuch gefouert huet. Ech hunn e Certificat kaaft a wëll wëssen firwat meng Sue vu mir ofgeholl ginn.
"Malware / Bedruch / Phishing" ass net d'Äntwert! A wéi engem Fichier hutt Dir de Virus gesinn? Gëtt et e Link op Virustotal? Gitt w.e.g. Beweis oder gitt d'Suen zréck, ech sinn midd fir technesch Ënnerstëtzung ze schreiwen an hunn méi wéi eng Woch gewaart.
Merci.
Hir Äntwert:
De Code Ënnerschrëft Zertifika gouf gemellt fir Malware ze verdeelen. Geméiss d'Industrie Richtlinnen: Sectigo als Zertifizéierungsautoritéit ass verlaangt den Zertifika zréckzezéien.
D'Hoffnung, datt et net den Af ass, dee mir äntwert ass komplett verluer. En interessant Diagramm entsteet:
- Mir verkafen e Certificat.
- Mir waarden op méi wéi sechs Méint, sou datt et onméiglech ass e Sträit iwwer PayPal opzemaachen.
- Mir erënneren a waarden op déi nächst Bestellung. Gewënn!
Well ech keng aner Methoden hunn fir se ze beaflossen, kann ech hir Bedruch nëmmen ëffentlech maachen. Wann Dir e Certificat vum Comodo kaaft, och bekannt als Sectigo, kënnt Dir op déiselwecht Situatioun stoussen.
Update 9. Juni:
Haut hunn ech CodeSignCert (d'Firma, duerch déi ech den Zertifika kaaft hunn) matgedeelt datt zënter se opgehalen hunn ze reagéieren, hunn ech d'Situatioun fir ëffentlech Diskussioun mat engem Link op dësen Artikel bruecht. No enger Zäit hu se endlech e Screenshot vum Virustotal geschéckt, wou de Programmhash sichtbar war :
VirusTotal -
Meng Bewäertung vun der Situatioun:
Ech kann mat Vertraue soen datt dëst eng falsch Positiv ass. Zeechen:
- Bezeechnung Generic am meeschte Fäll.
- Keng Detektioune vun Antivirus Leader.
Et ass schwéier ze soen wat genee sou eng Reaktioun vun den Antivirusen verursaacht huet, awer well d'Datei ganz al ass (et gouf viru bal engem Joer erstallt), hunn ech de Quellcode vun der Versioun 1.6.1 net gespäichert fir d'Datei binär nei ze kreéieren. . Wéi och ëmmer, ech hunn déi lescht Versioun 1.6.5, a mat der Onverännerlechkeet vun der Haaptzweig, goufen minimal Ännerungen do gemaach, awer et gi keng sou falsch Positiver:
VirusTotal -
CodeSignCert gouf vum falsche Positiv informéiert; Wann weider Resultater vun de Verhandlunge verfügbar sinn, gëtt den Artikel aktualiséiert bis d'Situatioun komplett geléist ass.
Source: will.com