ProHoster > Blogg > administrasjon > Comodo tilbakekaller sertifikater uten grunn

Comodo tilbakekaller sertifikater uten grunn

Kunne du tenke deg at et stort selskap ville lure kundene sine, spesielt hvis dette selskapet posisjonerer seg som en garantist for sikkerhet? SĂ„ jeg kunne ikke fĂžr nylig. Denne artikkelen er en advarsel om Ă„ tenke to ganger fĂžr du kjĂžper et kodesigneringssertifikat fra Comodo.

Som en del av jobben min (systemadministrasjon) lager jeg ulike nyttige programmer som jeg bruker aktivt i mitt eget arbeid, samtidig som jeg legger dem ut gratis for alle. For rundt tre Ă„r siden var det behov for Ă„ signere programmer, ellers kunne ikke alle mine klienter og brukere laste dem ned uten problemer bare fordi de ikke var signert. Signering har lenge vĂŠrt en normal praksis, og uansett hvor sikkert et program er, men hvis det ikke er signert, vil det definitivt bli Ăžkt oppmerksomhet rundt det:

  1. Nettleseren samler inn statistikk over hvor ofte en fil lastes ned, og nÄr den ikke er signert, kan den i fÞrste omgang til og med blokkeres "i tilfelle" og kreve en eksplisitt bekreftelse fra brukeren for Ä lagre. Algoritmene er forskjellige, noen ganger anses domenet som klarert, men generelt er det en gyldig signatur som bekrefter sikkerheten.
  2. Etter nedlasting blir filen sett pÄ av antiviruset og rett fÞr selve operativsystemet starter. For antivirus er signaturen ogsÄ viktig, denne kan enkelt sees pÄ virustotal, og nÄr det gjelder operativsystemet, starter med Win10, blir en fil med et tilbakekalt sertifikat umiddelbart blokkert og kan ikke startes fra Explorer. I tillegg er det i noen organisasjoner generelt forbudt Ä kjÞre usignert kode (konfigurert ved hjelp av systemverktÞy), og dette er berettiget - alle normale utviklere har lenge sÞrget for at programmene deres kan sjekkes uten ekstra innsats.

Generelt er riktig retning valgt – i den grad det er mulig, noe som gjĂžr Internett sĂ„ trygt som mulig for uerfarne brukere. Selve implementeringen er imidlertid fortsatt langt fra ideell. En enkel utvikler kan ikke bare fĂ„ et sertifikat; det mĂ„ kjĂžpes fra selskaper som har monopolisert dette markedet og dikterer deres vilkĂ„r pĂ„ det. Men hva om programmene er gratis? Ingen bryr seg. Da har utvikleren et valg - Ă„ stadig bevise sikkerheten til programmene sine, ofre brukervennligheten, eller Ă„ kjĂžpe et sertifikat. For tre Ă„r siden var StartCom, som nĂ„ bor pĂ„ bunnen av havet, lĂžnnsomt, det har aldri vĂŠrt noen problemer med dem. For Ăžyeblikket er minimumsprisen gitt av Comodo, men som det viser seg, er det en hake - for dem er utvikleren bokstavelig talt ingen, og det er vanlig praksis Ă„ utro ham.

Etter nesten et Ă„r med bruk av sertifikatet jeg kjĂžpte i midten av 2018, tilbakekalte Comodo det plutselig, uten forvarsel pĂ„ mail eller telefon, uten forklaring. Deres tekniske stĂžtte fungerer ikke bra - de svarer kanskje ikke pĂ„ en uke, men de klarte likevel Ă„ finne ut hovedĂ„rsaken - de mente at det utstedte sertifikatet var signert av skadelig programvare. Og historien kunne ha endt der, hvis ikke for Ă©n ting – jeg har aldri laget skadevare, og mine egne beskyttelsesmetoder lar meg si at det er umulig Ă„ stjele min private nĂžkkel. Bare Comodo har en kopi av nĂžkkelen fordi de utsteder dem uten CSR. Og sĂ„ - nesten to uker med mislykkede forsĂžk pĂ„ Ă„ finne ut det elementĂŠre beviset. Selskapet, som angivelig garanterer sikkerhetsbeskyttelse, nektet blankt Ă„ fremlegge bevis for brudd pĂ„ reglene deres.

Fra siste chat med teknisk stĂžtteDu 01:20
Du har skrevet "Vi streber etter Ä svare pÄ standard supportbilletter innen samme virkedag." men jeg har ventet pÄ svar i en uke nÄ.

Vinson 01:20
Hei, Velkommen til Sectigo SSL-validering!
La meg sjekke sakens status, vennligst vent litt.
Jeg har sjekket og bestillingen er tilbakekalt pÄ grunn av skadelig programvare/svindel/phishing av vÄr hÞyere tjenestemann.

Du 01:28
Jeg er sikker pÄ at dette er din feil, sÄ jeg ber om bevis.
Jeg har aldri hatt skadelig programvare/svindel/phishing.

Vinson 01:30
Jeg beklager, Alexander. Jeg har dobbeltsjekket og bestillingen er tilbakekalt pÄ grunn av skadelig programvare/svindel/nettfisking av vÄr hÞyere tjenestemann.

Du 01:31
I hvilken fil sÄ du viruset? Finnes det en link til virustotal? Jeg godtar ikke svaret ditt fordi det ikke er noe bevis i det. Jeg betalte penger for dette sertifikatet, og jeg har rett til Ä vite hvorfor pengene mine blir tatt fra meg med makt.
Hvis du ikke kan fremlegge bevis, ble sertifikatet tilbakekalt urettferdig og mÄ returnere pengene. Ellers, hva er meningen med arbeidet ditt hvis du tilbakekaller sertifikater uten bevis?

Vinson 01:34
Jeg forstÄr bekymringen din. Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pÄlagt Ä tilbakekalle sertifikatet.
I henhold til refusjonspolicyen vil vi ikke kunne refundere etter 30 dager fra utstedelsesdatoen.

Du 01:35
Hvorfor tror du at dette ikke er en feil eller en falsk positiv?

Vinson 01:36
Jeg beklager, Alexander. I henhold til vÄr rapport fra hÞyere tjenestemenn har ordren blitt tilbakekalt pÄ grunn av skadelig programvare/svindel/nettfisking.

Du 01:37
Ingen grunn til Ä be om unnskyldning, jeg betalte pengene og jeg vil se bevis pÄ at jeg har brutt reglene dine. Det er enkelt.
Jeg betalte i tre Är, sÄ kom du med en grunn og forlot meg uten attest og uten bevis pÄ min skyld.

Vinson 01:43
Jeg forstÄr bekymringen din. Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pÄlagt Ä tilbakekalle sertifikatet.

Du 01:45
Det virker som du ikke forstÄr. Hvor sÄ du retten som avsa dommen uten bevis? Du gjorde nettopp det. Jeg har aldri hatt skadelig programvare. Hvorfor gir du ikke bevis hvis det er det? Hvilket konkret bevis er tilbakekall av sertifikat?

Vinson 01:46
Jeg beklager, Alexander. I henhold til vÄr rapport fra hÞyere tjenestemenn har ordren blitt tilbakekalt pÄ grunn av skadelig programvare/svindel/nettfisking.

Du 01:47
Hvem kan jeg finne ut den virkelige grunnen til Ă„ tilbakekalle sertifikatet?
Hvis du ikke kan svare, fortell meg hvem jeg skal kontakte?

Vinson 01:48
Send inn en billett pÄ nytt ved Ä bruke lenken nedenfor slik at du fÄr svar sÄ tidlig som mulig.
sectigo.com/support-ticket

Du 01:48
Takk skal du ha.
Dette resultatet er ikke isolert, hele tiden med forhandlinger i chatten, i beste fall svarer de det samme, billetter blir enten ikke besvart i det hele tatt, eller svarene er like ubrukelige.

Jeg lager en billett igjenMin forespĂžrsel:
Jeg krever bevis pÄ at jeg har brutt en regel som fÞrte til tilbakekall. Jeg kjÞpte et sertifikat og vil vite hvorfor pengene mine er tatt fra meg.
"skadelig programvare/svindel/phishing" er ikke svaret! I hvilken fil sÄ du viruset? Finnes det en link til virustotal? Gi bevis eller returner pengene, jeg er lei av Ä skrive teknisk stÞtte og har ventet i mer enn en uke.
Takk skal du ha.

Deres svar:
Kodesigneringssertifikatet er rapportert for distribusjon av skadelig programvare. I henhold til bransjeretningslinjer: Sectigo som sertifiseringsinstans er pÄlagt Ä tilbakekalle sertifikatet.
HĂ„pet om at det ikke er apen som skal svare meg er helt ute. Et interessant diagram dukker opp:

  1. Vi selger et sertifikat.
  2. Vi har ventet i mer enn seks mÄneder slik at det er umulig Ä Äpne en tvist gjennom PayPal.
  3. Vi tilbakekaller og venter pÄ neste bestilling. Profitt!

Siden jeg ikke har noen andre metoder for Ä pÄvirke dem, kan jeg bare offentliggjÞre svindelen deres. NÄr du kjÞper et sertifikat fra Comodo, ogsÄ kjent som Sectigo, kan du stÞte pÄ samme situasjon.

Oppdatering 9. juni:
I dag varslet jeg CodeSignCert (selskapet som jeg kjĂžpte sertifikatet gjennom) at siden de sluttet Ă„ svare, har jeg tatt opp situasjonen til offentlig diskusjon med en lenke til denne artikkelen. Etter en tid sendte de endelig et skjermbilde av virustotal, der programhasjen var synlig EzvitUpd:
VirusTotal - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Min vurdering av situasjonen:
Jeg kan med sikkerhet si at dette er en falsk positiv. Tegn:

  1. Betegnelse Generisk i de fleste tilfeller.
  2. Ingen deteksjoner fra antivirusledere.

Det er vanskelig Ä si nÞyaktig hva som forÄrsaket en slik reaksjon fra antivirusene, men siden filen er veldig utdatert (den ble opprettet for nesten et Är siden), hadde jeg ikke lagret kildekoden til versjon 1.6.1 for Ä binÊrt gjenskape filen . Imidlertid har jeg den nyeste versjonen 1.6.5, og gitt uforanderligheten til hovedgrenen, ble det gjort minimale endringer der, men det er ingen slike falske positiver:
VirusTotal - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

CodeSignCert har blitt varslet om den falske positive; nÄr ytterligere resultater av forhandlingene blir tilgjengelige, vil artikkelen bli oppdatert til situasjonen er fullstendig lÞst.

Kilde: www.habr.com

KjĂžp pĂ„litelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere đŸ”„ KjĂžp pĂ„litelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster