ProHoster > Blogs > Administrācija > Comodo bez iemesla atsauc sertifikātus

Comodo bez iemesla atsauc sertifikātus

Vai varat iedomāties, ka liels uzņēmums maldinātu savus klientus, Ä«paÅ”i, ja Å”is uzņēmums sevi pozicionē kā droŔības garantu? Tāpēc es nevarēju vēl nesen. Å is raksts ir brÄ«dinājums padomāt pirms koda parakstÄ«Å”anas sertifikāta iegādes no Comodo.

Sava darba ietvaros (sistēmu administrÄ“Å”ana) veidoju dažādas noderÄ«gas programmas, kuras aktÄ«vi izmantoju pats savā darbā, un tajā paŔā laikā ievietoju tās bez maksas visiem. Apmēram pirms trim gadiem radās nepiecieÅ”amÄ«ba parakstÄ«t programmas, pretējā gadÄ«jumā ne visi mani klienti un lietotāji varēja tās bez problēmām lejupielādēt tikai tāpēc, ka tās nebija parakstÄ«tas. ParakstÄ«Å”anās jau sen ir ierasta prakse un lai cik droÅ”a bÅ«tu programma, bet, ja tā netiks parakstÄ«ta, tam noteikti tiks pievērsta pastiprināta uzmanÄ«ba:

  1. PārlÅ«kprogramma apkopo statistiku par to, cik bieži fails tiek lejupielādēts, un, kad tas nav parakstÄ«ts, sākotnējā posmā to var pat bloķēt ā€œkatram gadÄ«jumamā€ un pieprasÄ«t skaidru lietotāja apstiprinājumu, lai saglabātu. Algoritmi ir dažādi, dažreiz domēns tiek uzskatÄ«ts par uzticamu, bet kopumā tas ir derÄ«gs paraksts, kas apliecina droŔību.
  2. Pēc lejupielādes failu apskata antivÄ«russ un tieÅ”i pirms paÅ”as OS palaiÅ”anas. AntivÄ«rusiem svarÄ«gs ir arÄ« paraksts, to var viegli redzēt uz virustotal, un, kas attiecas uz OS, sākot ar Win10, fails ar atsauktu sertifikātu tiek uzreiz bloķēts un to nevar palaist no Explorer. Turklāt dažās organizācijās parasti ir aizliegts palaist neparakstÄ«tu kodu (konfigurēts, izmantojot sistēmas rÄ«kus), un tas ir pamatoti - visi parastie izstrādātāji jau sen ir pārliecinājuÅ”ies, ka viņu programmas var pārbaudÄ«t bez papildu pÅ«lēm.

Kopumā izvēlēts pareizais virziens ā€“ iespēju robežās padarot internetu pēc iespējas droŔāku nepieredzējuÅ”iem lietotājiem. Tomēr pati Ä«stenoÅ”ana joprojām ir tālu no ideāla. VienkārÅ”s izstrādātājs nevar vienkārÅ”i iegÅ«t sertifikātu, tas ir jāiegādājas no uzņēmumiem, kas ir monopolizējuÅ”i Å”o tirgu un diktē tajā savus noteikumus. Bet ko tad, ja programmas ir bezmaksas? Nevienu neinteresē. Tad izstrādātājam ir izvēle - pastāvÄ«gi pierādÄ«t savu programmu droŔību, upurējot lietotāju ērtÄ«bas, vai iegādāties sertifikātu. Pirms trim gadiem StartCom, kas tagad dzÄ«vo okeāna dzelmē, strādāja ar peļņu, ar tiem nekad nav bijis nekādu problēmu. Å obrÄ«d minimālo cenu nodroÅ”ina Comodo, taču, kā izrādās, tur ir āķis - viņiem izstrādātājs ir burtiski neviens un viņu krāpt ir normāla prakse.

Pēc gandrÄ«z gada lietoÅ”anas sertifikāta, kuru iegādājos 2018. gada vidÅ«, pēkŔņi, bez iepriekŔēja brÄ«dinājuma pa pastu vai tālruni, Comodo to bez paskaidrojumiem atsauca. Viņu tehniskais atbalsts nedarbojas labi - nedēļu viņi var neatbildēt, taču viņiem tomēr izdevās noskaidrot galveno iemeslu - viņi uzskatÄ«ja, ka izsniegto sertifikātu ir parakstÄ«jusi ļaunprātÄ«ga programmatÅ«ra. Un ar to stāsts varēja beigties, ja ne viena lieta - es nekad neesmu radÄ«jis ļaunprogrammatÅ«ru, un manas paÅ”as aizsardzÄ«bas metodes ļauj man teikt, ka manu privāto atslēgu nozagt nav iespējams. Tikai Comodo ir atslēgas kopija, jo viņi tās izsniedz bez CSR. Un tad - gandrÄ«z divas nedēļas neveiksmÄ«gi mēģinājumi noskaidrot elementāro pierādÄ«jumu. Uzņēmums, kas it kā garantē droŔības aizsardzÄ«bu, kategoriski atteicās sniegt pierādÄ«jumus par savu noteikumu pārkāpÅ”anu.

No pēdējās tērzÄ“Å”anas ar tehnisko atbalstuTu 01:20
JÅ«s esat rakstÄ«jis: ā€œMēs cenÅ”amies atbildēt uz standarta atbalsta biļetēm vienas darbadienas laikā.ā€ bet jau nedēļu gaidu atbildi.

Vinsons 01:20
Sveiki! Laipni lūdzam Sectigo SSL validācijā!
Ļaujiet man pārbaudīt jūsu lietas statusu, lūdzu, uzgaidiet minūti.
Esmu pārbaudÄ«jis, un pasÅ«tÄ«jums ir atsaukts mÅ«su augstākās amatpersonas ļaunprātÄ«gas programmatÅ«ras/krāpÅ”anas/pikŔķerÄ“Å”anas dēļ.

Tu 01:28
Esmu pārliecināts, ka tā ir jūsu kļūda, tāpēc es lūdzu pierādījumus.
Man nekad nav bijusi ļaunprātÄ«ga programmatÅ«ra/krāpÅ”ana/pikŔķerÄ“Å”ana.

Vinsons 01:30
Es atvainojos, Aleksandr. Esmu vēlreiz pārbaudÄ«jis pasÅ«tÄ«jumu, un mÅ«su augstākā amatpersona ļaunprātÄ«gas programmatÅ«ras/krāpÅ”anas/pikŔķerÄ“Å”anas dēļ ir atsaukts.

Tu 01:31
Kurā failā jÅ«s redzējāt vÄ«rusu? Vai ir saite uz virustotal? Es nepieņemu jÅ«su atbildi, jo tajā nav pierādÄ«jumu. Es samaksāju naudu par Å”o sertifikātu, un man ir tiesÄ«bas zināt, kāpēc mana nauda tiek atņemta ar varu.
Ja nevarat sniegt pierādījumus, sertifikāts tika atsaukts negodīgi un nauda ir jāatdod. Citādi kāda jēga tavam darbam, ja bez pierādījumiem atsauc sertifikātus?

Vinsons 01:34
Es saprotu jÅ«su bažas. Par koda parakstÄ«Å”anas sertifikātu ir ziņots par ļaunprātÄ«gas programmatÅ«ras izplatÄ«Å”anu. Saskaņā ar nozares vadlÄ«nijām: Sectigo kā sertifikācijas iestādei ir jāatsauc sertifikāts.
ArÄ« saskaņā ar atmaksas politiku mēs nevarēsim atmaksāt naudu pēc 30 dienām no izdoÅ”anas datuma.

Tu 01:35
Kāpēc, jūsuprāt, tā nav kļūda vai kļūdaini pozitīvs rezultāts?

Vinsons 01:36
Es atvainojos, Aleksandr. Saskaņā ar mÅ«su augstāko amatpersonu ziņojumu rÄ«kojums ir atsaukts ļaunprātÄ«gas programmatÅ«ras/krāpÅ”anas/pikŔķerÄ“Å”anas dēļ.

Tu 01:37
Nav nepiecieÅ”ams atvainoties, es samaksāju naudu un vēlos redzēt pierādÄ«jumus, ka esmu pārkāpis jÅ«su noteikumus. Tas ir vienkārÅ”i.
Es samaksāju trīs gadus, tad tu izdomāji iemeslu un atstāji mani bez izziņas un bez manas vainas pierādījumiem.

Vinsons 01:43
Es saprotu jÅ«su bažas. Par koda parakstÄ«Å”anas sertifikātu ir ziņots par ļaunprātÄ«gas programmatÅ«ras izplatÄ«Å”anu. Saskaņā ar nozares vadlÄ«nijām: Sectigo kā sertifikācijas iestādei ir jāatsauc sertifikāts.

Tu 01:45
Å Ä·iet, ka tu nesaproti. Kur jÅ«s redzējāt tiesu, kas pieņem spriedumu bez pierādÄ«jumiem? JÅ«s to darÄ«jāt. Man nekad nav bijusi ļaunprātÄ«ga programmatÅ«ra. Kāpēc jÅ«s nesniedzat pierādÄ«jumus, ja tā ir? Kāds konkrēts pierādÄ«jums ir sertifikāta atsaukÅ”ana?

Vinsons 01:46
Es atvainojos, Aleksandr. Saskaņā ar mÅ«su augstāko amatpersonu ziņojumu rÄ«kojums ir atsaukts ļaunprātÄ«gas programmatÅ«ras/krāpÅ”anas/pikŔķerÄ“Å”anas dēļ.

Tu 01:47
Kam es varu uzzināt patieso sertifikāta atsaukŔanas iemeslu?
Ja nevarat atbildēt, pastāstiet man, ar ko sazināties?

Vinsons 01:48
LÅ«dzu, iesniedziet biļeti vēlreiz, izmantojot tālāk esoÅ”o saiti, lai jÅ«s saņemtu atbildi pēc iespējas ātrāk.
sectigo.com/support-ticket

Tu 01:48
Paldies.
Å is rezultāts nav izolēts, visu sarunu laiku čatā labākajā gadÄ«jumā atbild vienu un to paÅ”u, uz biļetēm vai nu neatbild vispār, vai arÄ« atbildes ir tikpat bezjēdzÄ«gas.

Es atkal veidoju biļetiMans lūgums:
Es pieprasu pierādÄ«jumus, ka esmu pārkāpis noteikumu, kas noveda pie atsaukÅ”anas. Es nopirku sertifikātu un vēlos uzzināt, kāpēc man tiek atņemta nauda.
"Ä»aunprātÄ«ga programmatÅ«ra/krāpÅ”ana/pikŔķerÄ“Å”ana" nav risinājums! Kurā failā jÅ«s redzējāt vÄ«rusu? Vai ir saite uz virustotal? LÅ«dzu, iesniedziet pierādÄ«jumus vai atdodiet naudu, man ir apnicis rakstÄ«t tehnisko atbalstu un gaidu vairāk nekā nedēļu.
Paldies.

Viņu atbilde:
Par koda parakstÄ«Å”anas sertifikātu ir ziņots par ļaunprātÄ«gas programmatÅ«ras izplatÄ«Å”anu. Saskaņā ar nozares vadlÄ«nijām: Sectigo kā sertifikācijas iestādei ir jāatsauc sertifikāts.
Cerība, ka tas nav mērkaķis, kas man atbildēs, ir pilnībā zudusi. Parādās interesanta diagramma:

  1. Pārdodam sertifikātu.
  2. Mēs esam gaidÄ«juÅ”i vairāk nekā seÅ”us mēneÅ”us, lai nebÅ«tu iespējams uzsākt strÄ«du caur PayPal.
  3. Atsaucam un gaidām nākamo pasūtījumu. Peļņa!

Tā kā man nav citu paņēmienu, kā viņus ietekmēt, varu tikai publiskot viņu krāpÅ”anu. Iegādājoties sertifikātu no Comodo, kas pazÄ«stams arÄ« kā Sectigo, jÅ«s varat saskarties ar tādu paÅ”u situāciju.

Atjauninājums 9. jūnijā:
Å odien es paziņoju CodeSignCert (uzņēmumam, caur kuru es iegādājos sertifikātu), ka, tā kā viņi pārstāja reaģēt, esmu izvirzÄ«jis situāciju publiskai apsprieÅ”anai, pievienojot saiti uz Å”o rakstu. Pēc kāda laika viņi beidzot nosÅ«tÄ«ja virustotal ekrānuzņēmumu, kurā bija redzams programmas hash EzvitUpd:
VirusTotal ā€” d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Mans situācijas novērtējums:
Ar pārliecību varu teikt, ka tas ir viltus pozitīvs rezultāts. Pazīmes:

  1. Apzīmējums Vispārējs vairumā gadījumu.
  2. AntivÄ«rusu vadÄ«tāji nav konstatējuÅ”i nekādus atklājumus.

GrÅ«ti pateikt, kas tieÅ”i izraisÄ«ja Ŕādu antivÄ«rusu reakciju, taču, tā kā fails ir ļoti novecojis (izveidots gandrÄ«z pirms gada), man nebija saglabāts 1.6.1 versijas pirmkods, lai failu bināri izveidotu no jauna. . Tomēr man ir jaunākā versija 1.6.5, un, ņemot vērā galvenās filiāles nemainÄ«gumu, tajā tika veiktas minimālas izmaiņas, taču nav Ŕādu viltus pozitÄ«vu rezultātu:
VirusTotal ā€” c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

CodeSignCert ir informēts par viltus pozitīvu rezultātu; tiklīdz būs pieejami turpmāki sarunu rezultāti, raksts tiks atjaunināts, līdz situācija tiks pilnībā atrisināta.

Avots: www.habr.com

Pievieno komentāru