Maiisip mo ba na ang isang malaking kumpanya ay linlangin ang mga customer nito, lalo na kung ang kumpanyang ito ay iposisyon ang sarili bilang isang garantiya ng seguridad? Kaya hindi ko magawa hanggang kamakailan lamang. Ang artikulong ito ay isang babala na mag-isip nang dalawang beses bago bumili ng isang code signing certificate mula sa Comodo.
Bilang bahagi ng aking trabaho (system administration), gumagawa ako ng iba't ibang mga kapaki-pakinabang na programa na aktibong ginagamit ko sa sarili kong trabaho, at kasabay nito ay nai-post ko ang mga ito nang libre para sa lahat. Mga tatlong taon na ang nakalilipas, nagkaroon ng pangangailangan na pumirma sa mga programa, kung hindi, hindi lahat ng aking mga kliyente at user ay maaaring mag-download ng mga ito nang walang problema dahil lamang sa hindi sila napirmahan. Matagal nang normal na kasanayan ang pagpirma at gaano man ka-secure ang isang programa, ngunit kung hindi ito lalagdaan, tiyak na madaragdagan ang atensyon dito:
- Kinokolekta ng browser ang mga istatistika sa kung gaano kadalas na-download ang isang file, at kapag hindi ito nilagdaan, sa paunang yugto ay maaari pa itong i-block "kung sakali" at nangangailangan ng tahasang kumpirmasyon mula sa user upang i-save. Ang mga algorithm ay iba, kung minsan ang domain ay itinuturing na pinagkakatiwalaan, ngunit sa pangkalahatan ito ay isang wastong lagda na nagpapatunay ng seguridad.
- Pagkatapos mag-download, ang file ay tinitingnan ng antivirus at kaagad bago magsimula ang OS mismo. Para sa mga antivirus, mahalaga din ang lagda, madali itong makita sa virustotal, at para sa OS, simula sa Win10, ang isang file na may binawi na sertipiko ay agad na hinarangan at hindi mailunsad mula sa Explorer. Bilang karagdagan, sa ilang mga organisasyon ay karaniwang ipinagbabawal na magpatakbo ng hindi naka-sign na code (na-configure gamit ang mga tool ng system), at ito ay makatwiran - lahat ng mga normal na developer ay matagal nang tinitiyak na ang kanilang mga programa ay maaaring suriin nang walang karagdagang pagsisikap.
Sa pangkalahatan, ang tamang direksyon ay napili - sa abot ng makakaya, na ginagawang ligtas ang Internet hangga't maaari para sa mga walang karanasan na gumagamit. Gayunpaman, ang pagpapatupad mismo ay malayo pa rin sa perpekto. Ang isang simpleng developer ay hindi maaaring makakuha ng isang sertipiko; dapat itong bilhin mula sa mga kumpanya na nagmonopoliya sa merkado na ito at nagdidikta ng kanilang mga tuntunin dito. Ngunit paano kung ang mga programa ay libre? Walang may pakialam. Pagkatapos ay may pagpipilian ang developer - upang patuloy na patunayan ang kaligtasan ng kanyang mga programa, sinasakripisyo ang kaginhawahan ng mga gumagamit, o bumili ng isang sertipiko. Tatlong taon na ang nakalilipas, ang StartCom, na ngayon ay naninirahan sa ilalim ng karagatan, ay kumikita; walang anumang problema sa kanila. Sa ngayon, ang pinakamababang presyo ay ibinibigay ng Comodo, ngunit, tulad ng lumalabas, mayroong isang catch - para sa kanila ang developer ay literal na walang tao at ang pagdaraya sa kanya ay normal na kasanayan.
Matapos ang halos isang taon ng paggamit ng sertipiko na binili ko noong kalagitnaan ng 2018, bigla, nang walang paunang abiso sa pamamagitan ng koreo o telepono, binawi ito ng Comodo nang walang paliwanag. Hindi gumagana nang maayos ang kanilang teknikal na suporta - maaaring hindi sila tumugon sa loob ng isang linggo, ngunit nagawa pa rin nilang malaman ang pangunahing dahilan - isinasaalang-alang nila na ang ibinigay na sertipiko ay nilagdaan ng malware. At ang kuwento ay maaaring natapos doon, kung hindi para sa isang bagay - hindi pa ako nakalikha ng malware, at ang aking sariling mga paraan ng proteksyon ay nagpapahintulot sa akin na sabihin na imposibleng nakawin ang aking pribadong susi. Si Comodo lang ang may kopya ng susi dahil iniisyu nila ito nang walang CSR. At pagkatapos - halos dalawang linggo ng hindi matagumpay na mga pagtatangka upang malaman ang elementarya na patunay. Ang kumpanya, na diumano'y ginagarantiyahan ang proteksyon sa seguridad, ay tahasang tumanggi na magbigay ng ebidensya ng paglabag sa kanilang mga patakaran.
Mula sa huling chat na may teknikal na suportaIkaw 01:20
Isinulat mo ang "Nagsusumikap kaming tumugon sa mga karaniwang tiket ng suporta sa loob ng parehong araw ng negosyo." ngunit isang linggo na akong naghihintay ng tugon.
Vinson 01:20
Kumusta, Maligayang pagdating sa Sectigo SSL Validation!
Hayaan akong suriin ang katayuan ng iyong kaso, mangyaring maghintay ng isang minuto.
Nasuri ko at binawi ang order dahil sa malware/fraud/phishing ng aming mas mataas na opisyal.
Ikaw 01:28
Sigurado ako na ito ang iyong pagkakamali, kaya humihingi ako ng patunay.
Hindi pa ako nagkaroon ng malware/fraud/phishing.
Vinson 01:30
Sorry, Alexander. Nag-double check ako at ang order ay binawi dahil sa malware/fraud/phishing ng aming mas mataas na opisyal.
Ikaw 01:31
Saang file mo nakita ang virus? Mayroon bang link sa virustotal? Hindi ko tinatanggap ang iyong sagot dahil walang patunay dito. Nagbayad ako ng pera para sa sertipikong ito at may karapatan akong malaman kung bakit kinuha sa akin ang aking pera sa pamamagitan ng puwersa.
Kung hindi ka makapagbigay ng patunay, ang sertipiko ay binawi nang hindi patas at dapat ibalik ang pera. Kung hindi, ano ang kahulugan ng iyong trabaho kung binabawi mo ang mga sertipiko nang walang patunay?
Vinson 01:34
Naiintindihan ko ang iyong pag-aalala. Naiulat ang certificate signing code para sa pamamahagi ng malware. Alinsunod sa mga alituntunin sa industriya: Ang Sectigo bilang Awtoridad ng Sertipiko ay kinakailangan na bawiin ang sertipiko.
Alinsunod din sa patakaran sa refund, hindi kami makakapag-refund pagkalipas ng 30 araw mula sa petsa ng isyu.
Ikaw 01:35
Bakit sa palagay mo hindi ito isang pagkakamali o isang maling positibo?
Vinson 01:36
Sorry, Alexander. Ayon sa ulat ng aming mas matataas na opisyal, ang order ay binawi dahil sa malware/panloloko/phishing.
Ikaw 01:37
No need to apologize, I paid the money and I want to see proof that I violated your rules. Simple lang.
Nagbayad ako ng tatlong taon, pagkatapos ay nag-isip ka ng isang dahilan at iniwan ako nang walang sertipiko at walang katibayan ng aking pagkakasala.
Vinson 01:43
Naiintindihan ko ang iyong pag-aalala. Naiulat ang certificate signing code para sa pamamahagi ng malware. Alinsunod sa mga alituntunin sa industriya: Ang Sectigo bilang Awtoridad ng Sertipiko ay kinakailangan na bawiin ang sertipiko.
Ikaw 01:45
Parang hindi mo naiintindihan. Saan mo nakita ang korte na nagpasa ng hatol nang walang patunay? Ginawa mo lang yan. Hindi pa ako nagkaroon ng malware. Bakit hindi ka magbigay ng patunay kung ito nga? Anong partikular na patunay ang pagbawi ng sertipiko?
Vinson 01:46
Sorry, Alexander. Ayon sa ulat ng aming mas matataas na opisyal, ang order ay binawi dahil sa malware/panloloko/phishing.
Ikaw 01:47
Sino ang maaari kong malaman ang tunay na dahilan ng pagbawi ng sertipiko?
Kung hindi mo masagot, sabihin sa akin kung sino ang kokontakin?
Vinson 01:48
Mangyaring magsumite muli ng tiket gamit ang link sa ibaba upang makatanggap ka ng tugon nang mas maaga hangga't maaari.
Ikaw 01:48
Salamat sa inyo.
Ang resulta na ito ay hindi nakahiwalay, sa lahat ng oras ng mga negosasyon sa chat, sa pinakamainam, sila ay sumasagot sa parehong bagay, ang mga tiket ay alinman sa hindi sinasagot, o ang mga sagot ay kasing walang silbi.
Gumagawa na naman ako ng ticketAng aking kahilingan:
Nangangailangan ako ng patunay na nilabag ko ang isang tuntunin na humantong sa pagbawi. Bumili ako ng certificate at gusto kong malaman kung bakit kinukuha sa akin ang pera ko.
"malware/fraud/phishing" ay hindi ang sagot! Saang file mo nakita ang virus? Mayroon bang link sa virustotal? Mangyaring magbigay ng patunay o ibalik ang pera, pagod na akong magsulat ng teknikal na suporta at naghihintay ng higit sa isang linggo.
Salamat sa inyo.
Ang sagot nila:
Naiulat ang certificate signing code para sa pamamahagi ng malware. Alinsunod sa mga alituntunin sa industriya: Ang Sectigo bilang Awtoridad ng Sertipiko ay kinakailangan na bawiin ang sertipiko.
Ang pag-asa na hindi ang unggoy ang sasagot sa akin ay tuluyang nawala. Lumilitaw ang isang kawili-wiling diagram:
- Nagbebenta kami ng sertipiko.
- Mahigit anim na buwan na kaming naghihintay kaya imposibleng magbukas ng hindi pagkakaunawaan sa pamamagitan ng PayPal.
- Kami ay nagre-recall at naghihintay para sa susunod na order. Kita!
Dahil wala akong ibang paraan ng pag-impluwensya sa kanila, maaari ko lang isapubliko ang kanilang panloloko. Kapag bumili ng sertipiko mula sa Comodo, na kilala rin bilang Sectigo, maaari kang makatagpo ng parehong sitwasyon.
Update Hunyo 9:
Ngayon ay inabisuhan ko ang CodeSignCert (ang kumpanya kung saan binili ko ang sertipiko) na mula nang tumigil sila sa pagtugon, dinala ko ang sitwasyon para sa pampublikong talakayan na may link sa artikulong ito. Pagkaraan ng ilang oras, sa wakas ay nagpadala sila ng screenshot ng virustotal, kung saan makikita ang hash ng program :
VirusTotal -
Ang aking pagtatasa sa sitwasyon:
Maaari kong sabihin nang may kumpiyansa na ito ay isang maling positibo. Palatandaan:
- Pagtatalaga Generic sa karamihan ng mga kaso.
- Walang mga pagtuklas mula sa mga pinuno ng antivirus.
Mahirap sabihin kung ano ang eksaktong sanhi ng gayong reaksyon mula sa mga antivirus, ngunit dahil ang file ay napakaluma (ito ay nilikha halos isang taon na ang nakakaraan), wala akong source code ng bersyon 1.6.1 na na-save upang muling likhain ng binary ang file. . Gayunpaman, mayroon akong pinakabagong bersyon 1.6.5, at dahil sa kawalan ng pagbabago ng pangunahing sangay, kaunting mga pagbabago ang ginawa doon, ngunit walang ganoong mga maling positibo:
VirusTotal -
Naabisuhan ang CodeSignCert tungkol sa maling positibo; sa sandaling maging available ang karagdagang mga resulta ng mga negosasyon, ia-update ang artikulo hanggang sa ganap na malutas ang sitwasyon.
Pinagmulan: www.habr.com