A mund ta imagjinoni se një kompani e madhe do të mashtronte klientët e saj, veçanërisht nëse kjo kompani pozicionohet si garantuese e sigurisë? Kështu që nuk munda deri vonë. Ky artikull është një paralajmërim për t'u menduar dy herë përpara se të blini një certifikatë nënshkrimi të kodit nga Comodo.
Si pjesë e punës sime (administrimi i sistemit), bëj programe të ndryshme të dobishme që i përdor në mënyrë aktive në punën time dhe në të njëjtën kohë i postoj falas për të gjithë. Rreth tre vjet më parë, ishte nevoja për të nënshkruar programe, përndryshe jo të gjithë klientët dhe përdoruesit e mi mund t'i shkarkonin pa problem vetëm sepse nuk ishin të nënshkruara. Nënshkrimi ka qenë prej kohësh një praktikë normale dhe pa marrë parasysh sa i sigurt është një program, por nëse nuk nënshkruhet, patjetër do të ketë vëmendje të shtuar për të:
- Shfletuesi mbledh statistika se sa shpesh shkarkohet një skedar dhe kur nuk nënshkruhet, në fazën fillestare mund të bllokohet edhe "për çdo rast" dhe të kërkojë një konfirmim të qartë nga përdoruesi për ta ruajtur. Algoritmet janë të ndryshëm, ndonjëherë domeni konsiderohet i besueshëm, por në përgjithësi është një nënshkrim i vlefshëm që konfirmon sigurinë.
- Pas shkarkimit, skedari shikohet nga antivirusi dhe menjëherë përpara se të fillojë vetë OS. Për antiviruset, nënshkrimi është gjithashtu i rëndësishëm, kjo mund të shihet lehtësisht në virustotal, dhe sa i përket sistemit operativ, duke filluar me Win10, një skedar me një certifikatë të revokuar bllokohet menjëherë dhe nuk mund të niset nga Explorer. Për më tepër, në disa organizata përgjithësisht është e ndaluar të ekzekutohet kodi i panënshkruar (i konfiguruar duke përdorur mjetet e sistemit), dhe kjo është e justifikuar - të gjithë zhvilluesit normalë janë siguruar prej kohësh që programet e tyre të mund të kontrollohen pa përpjekje shtesë.
Në përgjithësi, është zgjedhur drejtimi i duhur - në masën e mundshme, duke e bërë internetin sa më të sigurt për përdoruesit e papërvojë. Sidoqoftë, vetë zbatimi është ende larg idealit. Një zhvillues i thjeshtë nuk mund të marrë thjesht një certifikatë; ajo duhet të blihet nga kompanitë që kanë monopolizuar këtë treg dhe të diktojnë kushtet e tyre për të. Por, çka nëse programet janë falas? Askujt nuk i intereson. Pastaj zhvilluesi ka një zgjedhje - të provojë vazhdimisht sigurinë e programeve të tij, duke sakrifikuar komoditetin e përdoruesve ose të blejë një certifikatë. Tre vjet më parë, StartCom, i cili tani jeton në fund të oqeanit, ishte fitimprurës; nuk ka pasur kurrë probleme me ta. Për momentin, çmimi minimal ofrohet nga Comodo, por, siç rezulton, ka një kapje - për ta zhvilluesi është fjalë për fjalë një askush dhe mashtrimi ndaj tij është praktikë normale.
Pas gati një viti përdorimi i certifikatës që bleva në mesin e vitit 2018, papritur, pa njoftim paraprak me postë ose telefon, Comodo e revokoi atë pa shpjegim. Mbështetja e tyre teknike nuk funksionon mirë - ata mund të mos përgjigjen për një javë, por ata megjithatë arritën të zbulojnë arsyen kryesore - ata konsideruan se certifikata e lëshuar ishte nënshkruar nga malware. Dhe historia mund të kishte përfunduar këtu, nëse jo për një gjë - unë kurrë nuk kam krijuar malware, dhe metodat e mia të mbrojtjes më lejojnë të them se është e pamundur të vjedhësh çelësin tim privat. Vetëm Comodo ka një kopje të çelësit sepse e lëshon atë pa CSR. Dhe më pas - gati dy javë përpjekje të pasuksesshme për të gjetur provën elementare. Kompania, e cila supozohet se garanton mbrojtjen e sigurisë, refuzoi kategorikisht të sigurojë prova për shkeljen e rregullave të tyre.
Nga biseda e fundit me mbështetje teknikeJu 01:20
Ju keni shkruar "Ne përpiqemi t'i përgjigjemi biletave standarde të mbështetjes brenda së njëjtës ditë pune". por kam një javë që pres përgjigje.
Vinson 01:20
Përshëndetje, Mirë se vini në Sectigo SSL Validation!
Më lejoni të kontrolloj statusin tuaj të çështjes, ju lutem prisni për një minutë.
Kam kontrolluar dhe urdhri është anuluar për shkak të malware/mashtrimit/phishing nga zyrtari ynë më i lartë.
Ju 01:28
Jam i sigurt se ky është gabimi juaj, ndaj kërkoj prova.
Unë kurrë nuk kam pasur malware/mashtrim/phishing.
Vinson 01:30
Më vjen keq, Aleksandër. Kam kontrolluar dy herë dhe urdhri është anuluar për shkak të malware/mashtrimit/phishing nga zyrtari ynë më i lartë.
Ju 01:31
Në cilin skedar e keni parë virusin? A ka lidhje me virustotal? Nuk e pranoj përgjigjen tuaj sepse nuk ka asnjë provë në të. Kam paguar para për këtë certifikatë dhe kam të drejtë të di pse më janë marrë paratë me dhunë.
Nëse nuk mund të jepni prova, atëherë certifikata është revokuar në mënyrë të padrejtë dhe duhet t'i kthejë paratë. Përndryshe, çfarë kuptimi ka puna juaj nëse i revokon certifikatat pa prova?
Vinson 01:34
Unë e kuptoj shqetësimin tuaj. Certifikata e nënshkrimit të kodit është raportuar për shpërndarjen e malware. Sipas udhëzimeve të industrisë: Sectigo si Autoritet Certifikues kërkohet të revokojë certifikatën.
Gjithashtu sipas politikës së rimbursimit, ne nuk do të jemi në gjendje të rimbursojmë pas 30 ditësh nga data e lëshimit.
Ju 01:35
Pse mendoni se ky nuk është një gabim apo një pozitiv i rremë?
Vinson 01:36
Më vjen keq, Aleksandër. Sipas raportit të zyrtarëve tanë më të lartë, urdhri është anuluar për shkak të malware/mashtrimit/phishing.
Ju 01:37
Nuk ka nevojë të kërkoj falje, kam paguar paratë dhe dua të shoh prova që kam shkelur rregullat tuaja. Është e thjeshtë.
Pagova tre vjet, pastaj më dolët me një arsye dhe më latë pa certifikatë dhe pa dëshmi të fajit tim.
Vinson 01:43
Unë e kuptoj shqetësimin tuaj. Certifikata e nënshkrimit të kodit është raportuar për shpërndarjen e malware. Sipas udhëzimeve të industrisë: Sectigo si Autoritet Certifikues kërkohet të revokojë certifikatën.
Ju 01:45
Duket se nuk e kupton. Ku e keni parë gjykatën që jep dënimin pa prova? Ju bëtë vetëm atë. Unë kurrë nuk kam pasur malware. Pse nuk jep prova nëse është? Çfarë prove specifike është revokimi i certifikatës?
Vinson 01:46
Më vjen keq, Aleksandër. Sipas raportit të zyrtarëve tanë më të lartë, urdhri është anuluar për shkak të malware/mashtrimit/phishing.
Ju 01:47
Kush mund ta zbuloj arsyen e vërtetë të revokimit të certifikatës?
Nëse nuk mund të përgjigjeni, më tregoni kë të kontaktoj?
Vinson 01:48
Ju lutemi dorëzoni sërish një biletë duke përdorur lidhjen e mëposhtme në mënyrë që të merrni një përgjigje sa më shpejt që të jetë e mundur.
Ju 01:48
Falemnderit.
Ky rezultat nuk është i izoluar, gjithë kohën e negociatave në chat, në rastin më të mirë, përgjigjen të njëjtën gjë, biletat ose nuk përgjigjen fare, ose përgjigjet janë po aq të kota.
Unë jam duke krijuar një biletë përsëriKërkesa ime:
Kërkoj prova që kam shkelur një rregull që çoi në anulim. Bleva një certifikatë dhe dua të di pse më janë marrë paratë e mia.
"malware/mashtrim/phishing" nuk është përgjigja! Në cilin skedar e keni parë virusin? A ka lidhje me virustotal? Ju lutemi jepni prova ose ktheni paratë, jam lodhur duke shkruar mbështetje teknike dhe kam pritur për më shumë se një javë.
Falemnderit.
Përgjigja e tyre:
Certifikata e nënshkrimit të kodit është raportuar për shpërndarjen e malware. Sipas udhëzimeve të industrisë: Sectigo si Autoritet Certifikues kërkohet të revokojë certifikatën.
Shpresa se nuk është majmuni që do të më përgjigjet ka humbur plotësisht. Shfaqet një diagram interesant:
- Ne shesim një certifikatë.
- Ne kemi pritur për më shumë se gjashtë muaj në mënyrë që të jetë e pamundur të hapet një mosmarrëveshje përmes PayPal.
- Po kujtojmë dhe presim porosinë e radhës. Fitimi!
Meqenëse nuk kam metoda të tjera për të ndikuar tek ata, mund të bëj vetëm mashtrimin e tyre publik. Kur blini një certifikatë nga Comodo, e njohur gjithashtu si Sectigo, mund të hasni të njëjtën situatë.
Përditësimi më 9 qershor:
Sot njoftova CodeSignCert (kompaninë përmes së cilës bleva certifikatën) se meqenëse nuk më përgjigjeshin, e kam sjellë situatën për diskutim publik me një lidhje në këtë artikull. Pas ca kohësh, ata më në fund dërguan një pamje të virusit total, ku hash-i i programit ishte i dukshëm :
VirusTotal -
Vlerësimi im i situatës:
Mund të them me besim se ky është një pozitiv i rremë. Shenjat:
- Emërtimi i përgjithshëm në shumicën e rasteve.
- Asnjë zbulim nga drejtuesit e antiviruseve.
Është e vështirë të thuhet se çfarë e shkaktoi saktësisht një reagim të tillë nga antiviruset, por meqenëse skedari është shumë i vjetëruar (u krijua pothuajse një vit më parë), nuk e kisha të ruajtur kodin burimor të versionit 1.6.1 për të rikrijuar skedarin binar . Sidoqoftë, unë kam versionin më të fundit 1.6.5, dhe duke pasur parasysh pandryshueshmërinë e degës kryesore, ndryshimet minimale u bënë atje, por nuk ka të tilla pozitive false:
VirusTotal -
CodeSignCert është njoftuar për pozitivitetin e rremë; pasi të bëhen të disponueshme rezultatet e mëtejshme të negociatave, artikulli do të përditësohet derisa situata të zgjidhet plotësisht.
Burimi: www.habr.com