Vă puteți imagina că o companie mare și-ar înșela clienții, mai ales dacă această companie se poziționează ca un garant al securității? Deci nu am putut până de curând. Acest articol este un avertisment să vă gândiți de două ori înainte de a cumpăra un certificat de semnare a codului de la Comodo.
Ca parte a jobului meu (administrare de sistem), fac diverse programe utile pe care le folosesc activ în propria mea muncă și, în același timp, le postez gratuit pentru toată lumea. În urmă cu aproximativ trei ani, era nevoie să semnez programe, altfel nu toți clienții și utilizatorii mei le puteau descărca fără probleme doar pentru că nu erau semnate. Semnarea a fost de multă vreme o practică normală și oricât de sigur este un program, dar dacă nu este semnat, cu siguranță se va acorda o atenție sporită:
- Browserul colectează statistici cu privire la cât de des este descărcat un fișier, iar atunci când nu este semnat, în etapa inițială poate fi chiar blocat „pentru orice eventualitate” și necesită o confirmare explicită din partea utilizatorului pentru salvare. Algoritmii sunt diferiți, uneori domeniul este considerat de încredere, dar în general este o semnătură validă care confirmă securitatea.
- După descărcare, fișierul este analizat de antivirus și imediat înainte ca sistemul de operare în sine să pornească. Pentru antiviruși, semnătura este și ea importantă, aceasta se vede ușor pe virustotal, iar în ceea ce privește sistemul de operare, începând cu Win10, un fișier cu certificat revocat este blocat imediat și nu poate fi lansat din Explorer. În plus, în unele organizații este în general interzis să ruleze cod nesemnat (configurat folosind instrumente de sistem), iar acest lucru este justificat - toți dezvoltatorii normali s-au asigurat de mult timp că programele lor pot fi verificate fără efort suplimentar.
În general, a fost aleasă direcția corectă - în măsura posibilului, făcând internetul cât mai sigur posibil pentru utilizatorii fără experiență. Cu toate acestea, implementarea în sine este încă departe de a fi ideală. Un simplu dezvoltator nu poate obține pur și simplu un certificat; acesta trebuie să fie achiziționat de la companii care au monopolizat această piață și să-și dicteze condițiile asupra acesteia. Dar dacă programele sunt gratuite? Nimanui nu-i pasa. Apoi, dezvoltatorul are de ales - să demonstreze în mod constant siguranța programelor sale, sacrificând confortul utilizatorilor sau să cumpere un certificat. În urmă cu trei ani, StartCom, care acum trăiește pe fundul oceanului, era profitabilă; nu au fost niciodată probleme cu ele. În prezent, prețul minim este furnizat de Comodo, dar, după cum se dovedește, există o captură - pentru ei, dezvoltatorul este literalmente un nimeni, iar înșelarea pe el este o practică normală.
După aproape un an de utilizare a certificatului pe care l-am achiziționat la jumătatea anului 2018, brusc, fără notificare prealabilă prin poștă sau telefon, Comodo l-a revocat fără explicații. Suportul lor tehnic nu funcționează bine - poate nu răspunde timp de o săptămână, dar au reușit totuși să afle motivul principal - au considerat că certificatul emis a fost semnat de malware. Și povestea s-ar fi putut termina acolo, dacă nu pentru un singur lucru - nu am creat niciodată malware, iar propriile mele metode de protecție îmi permit să spun că este imposibil să-mi fur cheia privată. Doar Comodo are o copie a cheii pentru că le eliberează fără un CSR. Și apoi - aproape două săptămâni de încercări nereușite de a afla dovada elementară. Compania, care se presupune că garantează protecția securității, a refuzat categoric să ofere dovezi privind încălcarea regulilor lor.
De la ultimul chat cu suport tehnicTu 01:20
Ați scris „Ne străduim să răspundem la biletele de asistență standard în aceeași zi lucrătoare.” dar astept un raspuns de o saptamana.
Vinson 01:20
Bună, Bun venit la Sectigo SSL Validation!
Permiteți-mi să vă verific starea cazului, vă rog să așteptați un minut.
Am verificat și comanda a fost revocată din cauza programelor malware/fraudă/phishing de către oficialul nostru superior.
Tu 01:28
Sunt sigur că aceasta este greșeala ta, așa că cer dovezi.
Nu am avut niciodată malware/fraudă/phishing.
Vinson 01:30
Îmi pare rău, Alexandru. Am verificat de două ori și comanda a fost revocată din cauza programelor malware/fraudă/phishing de către oficialul nostru superior.
Tu 01:31
În ce fișier ați văzut virusul? Există un link către virustotal? Nu accept răspunsul tău pentru că nu există dovezi în el. Am platit bani pentru acest certificat si am dreptul sa stiu de ce mi se iau banii cu forta.
Dacă nu puteți face dovada, atunci certificatul a fost revocat pe nedrept și trebuie să returnați banii. Altfel, care este sensul muncii tale dacă revoci certificate fără dovezi?
Vinson 01:34
Îți înțeleg îngrijorarea. Certificatul de semnare a codului a fost raportat pentru distribuirea de programe malware. Conform recomandărilor industriei: Sectigo, în calitate de Autoritate de Certificare, este obligată să revoce certificatul.
De asemenea, conform politicii de rambursare, nu vom putea rambursa după 30 de zile de la data emiterii.
Tu 01:35
De ce crezi că aceasta nu este o greșeală sau un fals pozitiv?
Vinson 01:36
Îmi pare rău, Alexandru. Conform raportului oficialilor noștri superiori, ordinul a fost revocat din cauza programelor malware/fraudă/phishing.
Tu 01:37
Nu trebuie să-mi cer scuze, am plătit banii și vreau să văd dovada că ți-am încălcat regulile. E simplu.
Am plătit trei ani, apoi ai venit cu un motiv și m-ai lăsat fără certificat și fără dovada vinovăției mele.
Vinson 01:43
Îți înțeleg îngrijorarea. Certificatul de semnare a codului a fost raportat pentru distribuirea de programe malware. Conform recomandărilor industriei: Sectigo, în calitate de Autoritate de Certificare, este obligată să revoce certificatul.
Tu 01:45
Se pare că nu înțelegi. Unde ați văzut instanța care pronunță sentința fără dovezi? Exact asta ai făcut. Nu am avut niciodată malware. De ce nu oferi dovezi dacă este? Ce dovadă specifică este revocarea certificatului?
Vinson 01:46
Îmi pare rău, Alexandru. Conform raportului oficialilor noștri superiori, ordinul a fost revocat din cauza programelor malware/fraudă/phishing.
Tu 01:47
Cine pot afla motivul real al revocării certificatului?
Dacă nu poți răspunde, spune-mi pe cine să mă adresez?
Vinson 01:48
Vă rugăm să trimiteți din nou un bilet utilizând linkul de mai jos, astfel încât să primiți un răspuns cât mai devreme posibil.
Tu 01:48
Mulțumesc.
Acest rezultat nu este izolat, tot timpul negocierilor în chat, în cel mai bun caz, ei răspund la fel, biletele fie nu se răspunde deloc, fie răspunsurile sunt la fel de inutile.
Creez din nou un biletCererea mea:
Cer dovada că am încălcat o regulă care a dus la revocare. Am cumpărat un certificat și vreau să știu de ce mi se iau banii.
„malware/fraudă/phishing” nu este răspunsul! În ce fișier ați văzut virusul? Există un link către virustotal? Vă rog să faceți dovada sau să returnați banii, m-am săturat să scriu suport tehnic și aștept de mai bine de o săptămână.
Mulțumesc.
Raspunsul lor:
Certificatul de semnare a codului a fost raportat pentru distribuirea de programe malware. Conform recomandărilor industriei: Sectigo, în calitate de Autoritate de Certificare, este obligată să revoce certificatul.
Speranța că nu maimuța îmi va răspunde este complet pierdută. Apare o diagramă interesantă:
- Vindem certificat.
- Așteptăm de mai bine de șase luni, astfel încât este imposibil să deschidem o dispută prin PayPal.
- Reamintim și așteptăm următoarea comandă. Profit!
Deoarece nu am alte metode de a-i influența, nu pot decât să fac publică frauda lor. Atunci când achiziționați un certificat de la Comodo, cunoscut și sub numele de Sectigo, este posibil să vă confruntați cu aceeași situație.
Actualizare 9 iunie:
Astăzi am anunțat CodeSignCert (compania prin care am achiziționat certificatul) că, din moment ce nu mai răspunde, am adus situația în discuție publică cu un link către acest articol. După ceva timp, au trimis în sfârșit o captură de ecran cu virustotal, unde hash-ul programului era vizibil :
VirusTotal -
Evaluarea mea asupra situației:
Pot spune cu încredere că acesta este un fals pozitiv. Semne:
- Denumirea generică în majoritatea cazurilor.
- Fără detectări de la liderii antivirus.
Este greu de spus ce anume a provocat o astfel de reacție din partea antivirusurilor, dar din moment ce fișierul este foarte depășit (a fost creat cu aproape un an în urmă), nu am avut codul sursă al versiunii 1.6.1 salvat pentru a recrea fișierul binar. . Cu toate acestea, am cea mai recentă versiune 1.6.5 și, având în vedere imuabilitatea ramurii principale, acolo au fost făcute modificări minime, dar nu există astfel de false pozitive:
VirusTotal -
CodeSignCert a fost notificat cu privire la fals pozitiv; odată ce rezultatele negocierilor devin disponibile, articolul va fi actualizat până când situația este complet rezolvată.
Sursa: www.habr.com