Томоохон компани үйлчлүүлэгчдээ хуурна гэж төсөөлж байна уу, ялангуяа энэ компани өөрийгөө аюулгүй байдлын баталгаа гэж үздэг бол? Тиймээс би саяхан болтол чадаагүй. Энэ нийтлэл нь Comodo-ээс код гарын үсэг зурах гэрчилгээ худалдаж авахаасаа өмнө хоёр удаа бодохыг анхааруулж байна.
Ажлынхаа хүрээнд (системийн удирдлага) би өөрийн ажилдаа идэвхтэй ашигладаг төрөл бүрийн хэрэгтэй программуудыг хийж, үүний зэрэгцээ хүн бүрт үнэ төлбөргүй байршуулдаг. Гурав орчим жилийн өмнө программд гарын үсэг зурах шаардлагатай байсан, эс тэгвээс миний бүх үйлчлүүлэгчид болон хэрэглэгчид гарын үсэг зураагүй учраас тэдгээрийг асуудалгүйгээр татаж авах боломжгүй байсан. Гарын үсэг зурах нь эрт дээр үеэс ердийн практик байсаар ирсэн бөгөөд хөтөлбөр хэр найдвартай байсан ч гарын үсэг зураагүй тохиолдолд түүнд анхаарал хандуулах нь гарцаагүй.
- Хөтөч нь файлыг хэр олон удаа татдаг тухай статистик мэдээллийг цуглуулдаг бөгөөд гарын үсэг зураагүй тохиолдолд эхний шатанд "ямар ч тохиолдолд" хааж, хадгалахын тулд хэрэглэгчээс тодорхой баталгаажуулалтыг шаарддаг. Алгоритмууд нь өөр өөр байдаг, заримдаа домэйныг найдвартай гэж үздэг боловч ерөнхийдөө энэ нь аюулгүй байдлыг баталгаажуулдаг хүчинтэй гарын үсэг юм.
- Татаж авсны дараа файлыг вирусны эсрэг програмаар шалгаж, үйлдлийн систем өөрөө эхлэхээс өмнө шууд харагдана. Антивирусын хувьд гарын үсэг нь бас чухал бөгөөд үүнийг virustotal дээр хялбархан харж болох бөгөөд үйлдлийн системийн хувьд Win10-аас эхлэн хүчингүй болсон гэрчилгээтэй файлыг шууд хааж, Explorer-ээс эхлүүлэх боломжгүй юм. Нэмж дурдахад, зарим байгууллагуудад гарын үсэг зураагүй кодыг ажиллуулахыг хориглодог (системийн хэрэгслүүдийг ашиглан тохируулсан) бөгөөд энэ нь үндэслэлтэй юм - бүх энгийн хөгжүүлэгчид өөрсдийн програмыг нэмэлт хүчин чармайлтгүйгээр шалгаж болно гэдэгт итгэлтэй байна.
Ерөнхийдөө, зөв чиглэлийг сонгосон - боломжийн хэрээр, интернетийг туршлагагүй хэрэглэгчдэд аль болох аюулгүй болгох. Гэсэн хэдий ч хэрэгжилт нь өөрөө төгс төгөлдөр байдлаас хол хэвээр байна. Энгийн хөгжүүлэгч зүгээр л гэрчилгээ авч чадахгүй, энэ зах зээлийг монопольчлолд оруулсан компаниудаас худалдаж авч, түүнд нөхцөлөө зааж өгөх ёстой. Гэхдээ програмууд үнэ төлбөргүй байвал яах вэ? Хэнд ч хамаагүй. Дараа нь хөгжүүлэгч нь програмынхаа аюулгүй байдлыг байнга нотлох, хэрэглэгчдийн тав тухыг золиослох эсвэл гэрчилгээ худалдаж авах сонголттой болно. Гурван жилийн өмнө одоо далайн ёроолд амьдардаг StartCom ашигтай байсан бөгөөд тэдэнтэй хэзээ ч асуудал гарч байгаагүй. Одоогийн байдлаар хамгийн бага үнийг Comodo-аас гаргаж байгаа боловч нэг зүйл бий - тэдний хувьд хөгжүүлэгч нь хэн ч биш бөгөөд түүнийг хуурах нь ердийн үзэгдэл юм.
2018 оны дундуур худалдаж авсан гэрчилгээгээ бараг нэг жил ашигласны дараа гэнэт шуудан эсвэл утсаар урьдчилан мэдэгдэлгүйгээр Comodo үүнийг ямар ч тайлбаргүйгээр хүчингүй болгосон. Тэдний техникийн дэмжлэг сайн ажиллахгүй байна - тэд долоо хоногийн турш хариу өгөхгүй байж магадгүй ч гол шалтгааныг олж мэдсэн хэвээр байна - олгосон гэрчилгээнд хортой програм гарын үсэг зурсан гэж тэд үзсэн. Хэрэв нэг зүйл болоогүй бол түүх үүгээр дуусч болох байсан - би хэзээ ч хортой програм бүтээгээгүй бөгөөд миний хамгаалалтын аргууд нь миний хувийн түлхүүрийг хулгайлах боломжгүй гэж хэлэх боломжийг олгодог. Зөвхөн Comodo-д түлхүүрийн хуулбар байдаг, учир нь тэд үүнийг CSRгүйгээр гаргадаг. Тэгээд дараа нь - анхан шатны нотлох баримтыг олох гэсэн бараг хоёр долоо хоног амжилтгүй оролдлого. Аюулгүй байдлын хамгаалалтыг баталгаажуулдаг компани тэдний дүрмийг зөрчсөн тухай нотлох баримт өгөхөөс эрс татгалзав.
Техникийн дэмжлэгтэй сүүлийн чатаасТа 01:20
Та "Бид стандарт дэмжлэгийн тасалбаруудад ажлын нэг өдрийн дотор хариу өгөхийг хичээж байна" гэж бичсэн байна. гэвч хариуг нь хүлээж долоо хонож байна.
Винсон 01:20
Сайн байна уу, Sectigo SSL баталгаажуулалтад тавтай морил!
Би таны хэргийн байдлыг шалгахыг зөвшөөрнө үү, түр хүлээнэ үү.
Би шалгаж үзсэн бөгөөд манай дээд албан тушаалтны хорлонтой програм/луйвар/фишингийн улмаас захиалга хүчингүй болсон.
Та 01:28
Энэ бол таны алдаа гэдэгт итгэлтэй байгаа тул нотлох баримт гуйж байна.
Би хэзээ ч хортой програм/луйвар/фишинг хийж байгаагүй.
Винсон 01:30
Намайг уучлаарай, Александр. Би давхар шалгасан бөгөөд манай дээд албан тушаалтны хортой програм/луйвар/фишингийн улмаас захиалга хүчингүй болсон.
Та 01:31
Та ямар файлаас вирусыг харсан бэ? Virtotal-ийн холбоос байна уу? Ямар ч нотлох баримт байхгүй тул би таны хариултыг хүлээн зөвшөөрөхгүй байна. Би энэ гэрчилгээнд мөнгө төлсөн, яагаад миний мөнгийг надаас хүчээр авч байгааг мэдэх эрхтэй.
Хэрэв та нотлох баримт гаргаж чадахгүй бол гэрчилгээг шударга бусаар хүчингүй болгосон тул мөнгөө буцааж өгөх ёстой. Тэгэхгүй бол нотлох баримтгүй гэрчилгээгээ хүчингүй болгочихвол ямар учиртай ажил вэ?
Винсон 01:34
Би таны санаа зовж байгааг ойлгож байна. Кодын гарын үсэг зурах гэрчилгээ нь хортой програм түгээх гэж мэдээлсэн. Салбарын удирдамжийн дагуу: Сертификатын эрх бүхий байгууллагын хувьд Sectigo нь гэрчилгээг хүчингүй болгох шаардлагатай.
Мөн буцаан олголтын журмын дагуу бид олгосон өдрөөс хойш 30 хоногийн дараа буцаан олгох боломжгүй.
Та 01:35
Энэ нь яагаад алдаа эсвэл худал эерэг зүйл биш гэж та бодож байна вэ?
Винсон 01:36
Намайг уучлаарай, Александр. Манай дээд албан тушаалтнуудын мэдээлснээр хорлонтой программ/луйвар/фишингийн улмаас уг тушаалыг цуцалсан байна.
Та 01:37
Уучлалт гуйх шаардлагагүй, би мөнгөө төлсөн бөгөөд би таны дүрмийг зөрчсөн гэдгээ нотлохыг хүсч байна. Энэ бол энгийн.
Би гурван жил төлчихөөд чи шалтаг гаргаж ирээд намайг гэрчилгээгүй, гэм буруутайг минь нотлох баримтгүй орхисон.
Винсон 01:43
Би таны санаа зовж байгааг ойлгож байна. Кодын гарын үсэг зурах гэрчилгээ нь хортой програм түгээх гэж мэдээлсэн. Салбарын удирдамжийн дагуу: Сертификатын эрх бүхий байгууллагын хувьд Sectigo нь гэрчилгээг хүчингүй болгох шаардлагатай.
Та 01:45
Чи ойлгохгүй байх шиг байна. Нотлох баримтгүй ялыг нь гаргадаг шүүхийг хаанаас харсан бэ? Чи үүнийг л хийсэн. Надад хортой програм байгаагүй. Байгаа бол яагаад нотлохгүй байгаа юм бэ? Гэрчилгээг хүчингүй болгосон нь ямар тодорхой нотолгоо вэ?
Винсон 01:46
Намайг уучлаарай, Александр. Манай дээд албан тушаалтнуудын мэдээлснээр хорлонтой программ/луйвар/фишингийн улмаас уг тушаалыг цуцалсан байна.
Та 01:47
Гэрчилгээг хүчингүй болгох жинхэнэ шалтгааныг хэнээс олж мэдэх вэ?
Хэрэв та хариулж чадахгүй бол хэнтэй холбоо барихаа хэлээрэй?
Винсон 01:48
Доорх холбоосыг ашиглан тасалбараа дахин илгээнэ үү, ингэснээр та аль болох эрт хариу хүлээн авна уу.
Та 01:48
Баярлалаа.
Энэ үр дүн нь тусгаарлагдмал биш, чат дахь хэлэлцээрийн бүх цаг, сайндаа л тэд ижил зүйл хариулдаг, тасалбарууд нь огт хариулдаггүй, эсвэл хариултууд нь ашиггүй байдаг.
Би дахин тасалбар үүсгэж байнаМиний хүсэлт:
Би хүчингүй болгоход хүргэсэн дүрмийг зөрчсөн гэдгээ нотлох баримт шаардаж байна. Би гэрчилгээ худалдаж авсан бөгөөд яагаад миний мөнгийг надаас авсныг мэдэхийг хүсч байна.
"Хорлонтой програм/хууран мэхлэлт/фишинг" гэдэг нь хариулт биш юм! Та ямар файлаас вирусыг харсан бэ? Virtotal-ийн холбоос байна уу? Нотлох баримт гаргаж өгөх эсвэл мөнгөө буцааж өгнө үү, би техникийн дэмжлэг бичихээс залхаж, долоо хоног гаруй хүлээж байна.
Баярлалаа.
Тэдний хариулт:
Кодын гарын үсэг зурах гэрчилгээ нь хортой програм түгээх гэж мэдээлсэн. Салбарын удирдамжийн дагуу: Сертификатын эрх бүхий байгууллагын хувьд Sectigo нь гэрчилгээг хүчингүй болгох шаардлагатай.
Сармагчин надад хариулахгүй гэсэн найдвар бүрмөсөн алга болсон. Сонирхолтой диаграм гарч ирнэ:
- Бид гэрчилгээ зарна.
- Бид зургаан сар гаруй хүлээсэн тул PayPal-ээр дамжуулан маргаан үүсгэх боломжгүй болсон.
- Бид эргэн санаж, дараагийн захиалгыг хүлээж байна. Ашиг!
Надад тэдэнд нөлөөлөх өөр арга байхгүй тул би тэдний луйврыг олон нийтэд ил тод болгож чадна. Sectigo гэгддэг Comodo-оос гэрчилгээ худалдаж авахдаа та ижил нөхцөл байдалтай тулгарч магадгүй юм.
9-р сарын XNUMX-ний шинэчлэлт:
Өнөөдөр би CodeSignCert-д (миний гэрчилгээ худалдаж авсан компани) тэд хариу өгөхөө больсон тул энэ нийтлэлийн холбоосоор нөхцөл байдлыг олон нийтийн хэлэлцүүлэгт оруулсан гэдгээ мэдэгдсэн. Хэсэг хугацааны дараа тэд эцэст нь програмын хэш харагдахуйц virustotal-ийн дэлгэцийн агшинг илгээв :
VirusTotal -
Нөхцөл байдлын талаархи миний үнэлгээ:
Энэ бол худал эерэг зүйл гэдгийг би итгэлтэйгээр хэлж чадна. Шинж тэмдэг:
- Ихэнх тохиолдолд ерөнхий тэмдэглэгээ.
- Вирусны эсрэг удирдагчдын илрүүлэлт байхгүй.
Антивирусаас яг юунаас болж ийм хариу үйлдэл үзүүлснийг хэлэхэд хэцүү ч файл нь маш хуучирсан (бараг жилийн өмнө үүсгэгдсэн) тул би файлыг хоёртын хувилбараар дахин үүсгэхийн тулд 1.6.1 хувилбарын эх кодыг хадгалаагүй байна. . Гэсэн хэдий ч надад хамгийн сүүлийн үеийн 1.6.5 хувилбар байгаа бөгөөд үндсэн салбар нь өөрчлөгддөггүй тул тэнд хамгийн бага өөрчлөлтүүд хийгдсэн боловч ийм хуурамч эерэг зүйл байхгүй:
VirusTotal -
CodeSignCert-д худал эерэг байдлын талаар мэдэгдсэн; хэлэлцээний цаашдын үр дүн гарсны дараа нөхцөл байдлыг бүрэн шийдвэрлэх хүртэл нийтлэлийг шинэчлэх болно.
Эх сурвалж: www.habr.com