Bolehkah anda bayangkan bahawa sebuah syarikat besar akan menipu pelanggannya, terutamanya jika syarikat ini meletakkan dirinya sebagai penjamin keselamatan? Jadi saya tidak boleh sehingga baru-baru ini. Artikel ini adalah amaran untuk membuat anda berfikir sepuluh kali sebelum membeli sijil menandatangani kod daripada Comodo.
Sebagai sebahagian daripada tugas saya (pentadbiran sistem), saya membuat pelbagai program berguna yang saya gunakan secara aktif dalam kerja saya sendiri, dan pada masa yang sama saya menyiarkannya secara percuma untuk semua orang. Kira-kira tiga tahun yang lalu, terdapat keperluan untuk menandatangani program, jika tidak, tidak semua pelanggan dan pengguna saya boleh memuat turunnya tanpa masalah hanya kerana mereka tidak ditandatangani. Menandatangani telah lama menjadi amalan biasa dan tidak kira betapa selamatnya sesuatu program, tetapi jika ia tidak ditandatangani, pasti akan ada peningkatan perhatian kepadanya:
- Penyemak imbas mengumpul statistik tentang kekerapan fail dimuat turun, dan apabila ia tidak ditandatangani, pada peringkat awal ia juga boleh disekat "untuk berjaga-jaga" dan memerlukan pengesahan yang jelas daripada pengguna untuk menyimpan. Algoritma adalah berbeza, kadangkala domain dianggap dipercayai, tetapi secara umum ia adalah tandatangan yang sah yang mengesahkan keselamatan.
- Selepas memuat turun, fail itu dilihat oleh antivirus dan sejurus sebelum OS itu sendiri bermula. Untuk antivirus, tandatangan juga penting, ini boleh dilihat dengan mudah pada virustotal, dan bagi OS, bermula dengan Win10, fail dengan sijil yang dibatalkan segera disekat dan tidak boleh dilancarkan dari Explorer. Di samping itu, dalam sesetengah organisasi secara amnya dilarang untuk menjalankan kod yang tidak ditandatangani (dikonfigurasikan menggunakan alat sistem), dan ini adalah wajar - semua pembangun biasa telah lama memastikan bahawa program mereka boleh disemak tanpa usaha tambahan.
Secara umum, arah yang betul telah dipilih - setakat yang mungkin, menjadikan Internet seaman mungkin untuk pengguna yang tidak berpengalaman. Walau bagaimanapun, pelaksanaan itu sendiri masih jauh dari ideal. Pemaju yang mudah tidak boleh hanya mendapatkan sijil; ia mesti dibeli daripada syarikat yang telah memonopoli pasaran ini dan menentukan syarat mereka ke atasnya. Tetapi bagaimana jika program itu percuma? Tiada siapa kisah. Kemudian pemaju mempunyai pilihan - untuk sentiasa membuktikan keselamatan programnya, mengorbankan kemudahan pengguna, atau untuk membeli sijil. Tiga tahun lalu, StartCom, yang kini tinggal di dasar lautan, menguntungkan; tidak pernah ada masalah dengan mereka. Pada masa ini, harga minimum disediakan oleh Comodo, tetapi, ternyata, ada tangkapan - bagi mereka pemaju sebenarnya bukan sesiapa dan menipunya adalah amalan biasa.
Selepas hampir setahun menggunakan sijil yang saya beli pada pertengahan 2018, tiba-tiba, tanpa notis awal melalui surat atau telefon, Comodo membatalkannya tanpa penjelasan. Sokongan teknikal mereka tidak berfungsi dengan baik - mereka mungkin tidak bertindak balas selama seminggu, tetapi mereka masih berjaya mengetahui sebab utama - mereka menganggap bahawa sijil yang dikeluarkan telah ditandatangani oleh perisian hasad. Dan kisah itu mungkin berakhir di sana, jika bukan untuk satu perkara - saya tidak pernah mencipta perisian hasad, dan kaedah perlindungan saya sendiri membolehkan saya mengatakan bahawa adalah mustahil untuk mencuri kunci peribadi saya. Hanya Comodo mempunyai salinan kunci kerana mereka mengeluarkannya tanpa CSR. Dan kemudian - hampir dua minggu percubaan yang tidak berjaya untuk mengetahui bukti asas. Syarikat itu, yang kononnya menjamin perlindungan keselamatan, enggan memberikan bukti pelanggaran peraturan mereka.
Dari sembang terakhir dengan sokongan teknikalAwak 01:20
Anda telah menulis "Kami berusaha untuk membalas tiket sokongan standard dalam hari perniagaan yang sama." tetapi saya telah menunggu jawapan selama seminggu sekarang.
Vinson 01:20
Hai, Selamat Datang ke Pengesahan SSL Sectigo!
Izinkan saya menyemak status kes anda, sila tunggu sebentar.
Saya telah menyemak dan perintah itu telah dibatalkan kerana perisian hasad/penipuan/pancingan data oleh pegawai atasan kami.
Awak 01:28
Saya yakin bahawa ini adalah kesilapan anda, jadi saya meminta bukti.
Saya tidak pernah mengalami perisian hasad/penipuan/pancingan data.
Vinson 01:30
Saya minta maaf, Alexander. Saya telah menyemak semula dan perintah itu telah dibatalkan kerana perisian hasad/penipuan/pancingan data oleh pegawai atasan kami.
Awak 01:31
Dalam fail manakah anda melihat virus itu? Adakah terdapat pautan ke virustotal? Saya tidak menerima jawapan anda kerana tiada bukti di dalamnya. Saya membayar wang untuk sijil ini dan saya berhak untuk mengetahui mengapa wang saya diambil daripada saya secara paksa.
Sekiranya anda tidak dapat memberikan bukti, maka sijil tersebut telah dibatalkan secara tidak adil dan mesti memulangkan wang tersebut. Jika tidak, apakah erti kerja anda jika anda membatalkan sijil tanpa bukti?
Vinson 01:34
Saya faham kebimbangan anda. Sijil menandatangani kod telah dilaporkan kerana mengedar perisian hasad. Mengikut garis panduan industri: Sectigo sebagai Pihak Berkuasa Sijil diperlukan untuk membatalkan sijil.
Juga mengikut dasar bayaran balik, kami tidak akan dapat membuat bayaran balik selepas 30 hari dari tarikh dikeluarkan.
Awak 01:35
Mengapa anda fikir ini bukan satu kesilapan atau positif palsu?
Vinson 01:36
Saya minta maaf, Alexander. Menurut laporan pegawai atasan kami, perintah itu telah dibatalkan kerana perisian hasad/penipuan/pancingan data.
Awak 01:37
Tidak perlu meminta maaf, saya telah membayar wang itu dan saya ingin melihat bukti bahawa saya telah melanggar peraturan anda. Mudah sahaja.
Saya membayar selama tiga tahun, kemudian anda datang dengan alasan dan meninggalkan saya tanpa sijil dan tanpa bukti kesalahan saya.
Vinson 01:43
Saya faham kebimbangan anda. Sijil menandatangani kod telah dilaporkan kerana mengedar perisian hasad. Mengikut garis panduan industri: Sectigo sebagai Pihak Berkuasa Sijil diperlukan untuk membatalkan sijil.
Awak 01:45
Nampaknya awak tidak faham. Di manakah anda melihat mahkamah yang menjatuhkan hukuman tanpa bukti? Awak buat begitu sahaja. Saya tidak pernah mempunyai perisian hasad. Mengapa anda tidak memberikan bukti jika ia? Apakah bukti khusus pembatalan sijil?
Vinson 01:46
Saya minta maaf, Alexander. Menurut laporan pegawai atasan kami, perintah itu telah dibatalkan kerana perisian hasad/penipuan/pancingan data.
Awak 01:47
Siapa yang boleh saya ketahui sebab sebenar pembatalan sijil?
Jika anda tidak dapat menjawab, beritahu saya siapa yang perlu dihubungi?
Vinson 01:48
Sila serahkan tiket sekali lagi menggunakan pautan di bawah supaya anda menerima maklum balas secepat mungkin.
Awak 01:48
Terima kasih.
Keputusan ini tidak terpencil, sepanjang masa rundingan dalam sembang, paling baik, mereka menjawab perkara yang sama, tiket sama ada tidak dijawab langsung, atau jawapannya sama tidak berguna.
Saya sedang mencipta tiket lagiPermintaan saya:
Saya memerlukan bukti bahawa saya melanggar peraturan yang membawa kepada pembatalan. Saya membeli sijil dan ingin tahu mengapa wang saya diambil daripada saya.
"perisian hasad/penipuan/pancingan data" bukanlah jawapannya! Dalam fail manakah anda melihat virus itu? Adakah terdapat pautan ke virustotal? Tolong berikan bukti atau pulangkan wang, saya bosan menulis sokongan teknikal dan telah menunggu lebih dari seminggu.
Terima kasih.
Jawapan mereka:
Sijil menandatangani kod telah dilaporkan kerana mengedar perisian hasad. Mengikut garis panduan industri: Sectigo sebagai Pihak Berkuasa Sijil diperlukan untuk membatalkan sijil.
Harapan bahawa bukan monyet yang akan menjawab saya hilang sama sekali. Gambar rajah yang menarik muncul:
- Kami menjual sijil.
- Kami telah menunggu selama lebih daripada enam bulan sehingga mustahil untuk membuka pertikaian melalui PayPal.
- Kami sedang memanggil semula dan menunggu pesanan seterusnya. Untung!
Oleh kerana saya tidak mempunyai kaedah lain untuk mempengaruhi mereka, saya hanya boleh mendedahkan penipuan mereka kepada umum. Apabila membeli sijil daripada Comodo, juga dikenali sebagai Sectigo, anda mungkin menghadapi situasi yang sama.
Kemas kini 9 Jun:
Hari ini saya memberitahu CodeSignCert (syarikat yang saya gunakan untuk membeli sijil) bahawa sejak mereka berhenti bertindak balas, saya telah membawa situasi itu untuk perbincangan umum dengan pautan ke artikel ini. Selepas beberapa lama, mereka akhirnya menghantar tangkapan skrin virustotal, di mana cincangan program kelihatan :
Jumlah Virus -
Penilaian saya terhadap keadaan:
Saya boleh mengatakan dengan yakin bahawa ini adalah positif palsu. tanda-tanda:
- Penamaan Generik dalam kebanyakan kes.
- Tiada pengesanan daripada pemimpin antivirus.
Sukar untuk mengatakan apa sebenarnya yang menyebabkan reaksi sedemikian daripada antivirus, tetapi kerana fail itu sangat lapuk (ia dicipta hampir setahun yang lalu), saya tidak mempunyai kod sumber versi 1.6.1 yang disimpan untuk mencipta semula fail binari . Walau bagaimanapun, saya mempunyai versi terbaharu 1.6.5, dan memandangkan kebolehubahan cawangan utama, perubahan minimum telah dibuat di sana, tetapi tidak ada positif palsu seperti itu:
Jumlah Virus -
CodeSignCert telah dimaklumkan tentang positif palsu; sebaik sahaja hasil rundingan selanjutnya tersedia, artikel itu akan dikemas kini sehingga situasi diselesaikan sepenuhnya.
Sumber: www.habr.com