Skulle du kunna tänka dig att ett stort företag skulle lura sina kunder, särskilt om detta företag positionerar sig som en garant för säkerhet? Så jag kunde inte förrän nyligen. Den här artikeln är en varning om att tänka två gånger innan du köper ett kodsigneringscertifikat från Comodo.
Som en del av mitt jobb (systemadministration) gör jag olika användbara program som jag aktivt använder i mitt eget arbete och samtidigt lägger jag upp dem gratis för alla. För ungefär tre år sedan fanns det ett behov av att signera program, annars kunde inte alla mina kunder och användare ladda ner dem utan problem bara för att de inte var signerade. Signering har länge varit en normal praxis och oavsett hur säkert ett program är, men om det inte signeras kommer det definitivt att bli ökad uppmärksamhet på det:
- Webbläsaren samlar in statistik om hur ofta en fil laddas ner, och när den inte är signerad kan den i inledningsskedet till och med blockeras "för säkerhets skull" och kräver en uttrycklig bekräftelse från användaren för att spara. Algoritmerna är olika, ibland anses domänen vara betrodd, men i allmänhet är det en giltig signatur som bekräftar säkerheten.
- Efter nedladdningen tittas filen på av antivirusprogrammet och omedelbart innan själva operativsystemet startar. För antivirus är signaturen också viktig, detta kan lätt ses på virustotal, och när det gäller operativsystemet, från och med Win10, blockeras en fil med ett återkallat certifikat omedelbart och kan inte startas från Explorer. Dessutom är det i vissa organisationer generellt förbjudet att köra osignerad kod (konfigurerad med systemverktyg), och detta är motiverat - alla normala utvecklare har länge sett till att deras program kan kontrolleras utan extra ansträngning.
I allmänhet har rätt riktning valts – i den mån det är möjligt, vilket gör Internet så säkert som möjligt för oerfarna användare. Själva implementeringen är dock fortfarande långt ifrån idealisk. En enkel utvecklare kan inte bara få ett certifikat, det måste köpas från företag som har monopoliserat denna marknad och dikterar sina villkor på den. Men vad händer om programmen är gratis? Ingen bryr sig. Då har utvecklaren ett val - att ständigt bevisa säkerheten för sina program, offra användarnas bekvämlighet eller att köpa ett certifikat. För tre år sedan var StartCom, som nu bor på havets botten, lönsamt, det har aldrig varit några problem med dem. För tillfället tillhandahålls minimipriset av Comodo, men som det visar sig finns det en hake - för dem är utvecklaren bokstavligen ingen och att fuska på honom är normal praxis.
Efter nästan ett år av att ha använt certifikatet jag köpte i mitten av 2018, plötsligt, utan förvarning per post eller telefon, återkallade Comodo det utan förklaring. Deras tekniska support fungerar inte bra - de kanske inte svarar på en vecka, men de lyckades ändå ta reda på huvudorsaken - de ansåg att det utfärdade certifikatet var signerat av skadlig programvara. Och historien kunde ha slutat där, om inte för en sak - jag har aldrig skapat skadlig programvara, och mina egna skyddsmetoder tillåter mig att säga att det är omöjligt att stjäla min privata nyckel. Endast Comodo har en kopia av nyckeln eftersom de utfärdar dem utan CSR. Och sedan - nästan två veckors misslyckade försök att ta reda på det elementära beviset. Företaget, som ska garantera säkerhetsskydd, vägrade bestämt att tillhandahålla bevis för brott mot deras regler.
Från den senaste chatten med teknisk supportDu 01:20
Du har skrivit "Vi strävar efter att svara på standardsupportbiljetter inom samma arbetsdag." men jag har väntat på svar i en vecka nu.
Vinson 01:20
Hej, Välkommen till Sectigo SSL-validering!
Låt mig kolla din ärendestatus, snälla vänta en minut.
Jag har kontrollerat och beställningen har återkallats på grund av skadlig programvara/bedrägeri/nätfiske av vår högre tjänsteman.
Du 01:28
Jag är säker på att detta är ditt misstag, så jag ber om bevis.
Jag har aldrig haft skadlig programvara/bedrägeri/nätfiske.
Vinson 01:30
Jag är ledsen, Alexander. Jag har dubbelkollat och beställningen har återkallats på grund av skadlig programvara/bedrägeri/nätfiske av vår högre tjänsteman.
Du 01:31
I vilken fil såg du viruset? Finns det en länk till virustotal? Jag accepterar inte ditt svar eftersom det inte finns några bevis i det. Jag har betalat pengar för detta certifikat och jag har rätt att få veta varför mina pengar tas från mig med våld.
Om du inte kan ge bevis, då certifikatet återkallades orättvist och måste returnera pengarna. Vad är annars meningen med ditt arbete om du återkallar intyg utan bevis?
Vinson 01:34
Jag förstår din oro. Kodsigneringscertifikatet har rapporterats för distribution av skadlig programvara. Enligt branschriktlinjer: Sectigo som certifikatutfärdare är skyldig att återkalla certifikatet.
Enligt återbetalningspolicyn kommer vi inte heller att kunna återbetala efter 30 dagar från utfärdandet.
Du 01:35
Varför tror du att detta inte är ett misstag eller ett falskt positivt?
Vinson 01:36
Jag är ledsen, Alexander. Enligt vår rapport från högre tjänstemän har ordern återkallats på grund av skadlig programvara/bedrägeri/nätfiske.
Du 01:37
Du behöver inte be om ursäkt, jag betalade pengarna och jag vill se bevis på att jag brutit mot dina regler. Det är enkelt.
Jag betalade i tre år, sedan kom du på en anledning och lämnade mig utan intyg och utan bevis på min skuld.
Vinson 01:43
Jag förstår din oro. Kodsigneringscertifikatet har rapporterats för distribution av skadlig programvara. Enligt branschriktlinjer: Sectigo som certifikatutfärdare är skyldig att återkalla certifikatet.
Du 01:45
Det verkar som att du inte förstår. Var såg du domstolen som dömer ut domen utan bevis? Du gjorde just det. Jag har aldrig haft skadlig programvara. Varför ger du inte bevis om det är det? Vilket specifikt bevis är en återkallelse av certifikat?
Vinson 01:46
Jag är ledsen, Alexander. Enligt vår rapport från högre tjänstemän har ordern återkallats på grund av skadlig programvara/bedrägeri/nätfiske.
Du 01:47
Vem kan jag ta reda på den verkliga anledningen till att återkalla certifikatet?
Om du inte kan svara, berätta vem jag ska kontakta?
Vinson 01:48
Skicka in en biljett igen via länken nedan så att du får ett svar så tidigare som möjligt.
Du 01:48
Tack.
Detta resultat är inte isolerat, hela tiden för förhandlingar i chatten svarar de i bästa fall samma sak, biljetter besvaras antingen inte alls, eller så är svaren lika värdelösa.
Jag skapar en biljett igenMin förfrågan:
Jag kräver bevis på att jag brutit mot en regel som ledde till återkallelse. Jag köpte ett certifikat och vill veta varför mina pengar tas från mig.
"skadlig programvara/bedrägeri/nätfiske" är inte svaret! I vilken fil såg du viruset? Finns det en länk till virustotal? Vänligen tillhandahåll bevis eller returnera pengarna, jag är trött på att skriva teknisk support och har väntat i mer än en vecka.
Tack.
Deras svar:
Kodsigneringscertifikatet har rapporterats för distribution av skadlig programvara. Enligt branschriktlinjer: Sectigo som certifikatutfärdare är skyldig att återkalla certifikatet.
Hoppet om att det inte är apan som ska svara mig är helt förlorat. Ett intressant diagram framträder:
- Vi säljer ett certifikat.
- Vi har väntat i mer än sex månader så att det är omöjligt att öppna en tvist via PayPal.
- Vi återkallar och väntar på nästa beställning. Vinst!
Eftersom jag inte har några andra metoder för att påverka dem kan jag bara offentliggöra deras bedrägeri. När du köper ett certifikat från Comodo, även känt som Sectigo, kan du råka ut för samma situation.
Uppdatering 9 juni:
Idag meddelade jag CodeSignCert (företaget genom vilket jag köpte certifikatet) att sedan de slutade svara har jag tagit upp situationen för offentlig diskussion med en länk till den här artikeln. Efter en tid skickade de äntligen en skärmdump av virustotal, där programmets hash var synlig :
VirusTotal -
Min bedömning av situationen:
Jag kan med tillförsikt säga att detta är ett falskt positivt. Tecken:
- Beteckning Generisk i de flesta fall.
- Inga upptäckter från antivirusledare.
Det är svårt att säga exakt vad som orsakade en sådan reaktion från antivirus, men eftersom filen är väldigt föråldrad (den skapades för nästan ett år sedan) hade jag inte sparad källkoden för version 1.6.1 för att binärt återskapa filen . Jag har dock den senaste versionen 1.6.5, och med tanke på huvudgrenens oföränderlighet gjordes minimala ändringar där, men det finns inga sådana falska positiva:
VirusTotal -
CodeSignCert har underrättats om det falska positiva; när ytterligare resultat av förhandlingarna blir tillgängliga kommer artikeln att uppdateras tills situationen är helt löst.
Källa: will.com