Büyük bir şirketin, özellikle de kendisini güvenliğin garantörü olarak konumlandırması durumunda müşterilerini aldatacağını hayal edebiliyor musunuz? Bu yüzden yakın zamana kadar bunu başaramıyordum. Bu makale, Comodo'dan kod imzalama sertifikası satın almadan önce iki kez düşünmeniz gerektiğine dair bir uyarıdır.
İşim gereği (sistem yöneticiliği) kendi işimde aktif olarak kullandığım çeşitli faydalı programlar hazırlıyor ve aynı zamanda bunları herkesin kullanımına ücretsiz olarak yayınlıyorum. Yaklaşık üç yıl önce programları imzalamaya ihtiyaç vardı, aksi takdirde tüm müşterilerim ve kullanıcılarım sırf imzalanmadıkları için bunları sorunsuz bir şekilde indiremezlerdi. İmzalama uzun zamandır normal bir uygulamadır ve bir program ne kadar güvenli olursa olsun, imzalanmazsa ona olan ilgi kesinlikle artacaktır:
- Tarayıcı, bir dosyanın ne sıklıkta indirildiğine ilişkin istatistikler toplar ve imzalanmadığında, ilk aşamada "her ihtimale karşı" bile engellenebilir ve kaydedilmesi için kullanıcıdan açık bir onay gerektirebilir. Algoritmalar farklıdır, bazen etki alanı güvenilir olarak kabul edilir, ancak genel olarak güvenliği doğrulayan geçerli bir imzadır.
- İndirdikten sonra dosya antivirüs tarafından ve işletim sisteminin kendisi başlatılmadan hemen önce incelenir. Antivirüsler için imza da önemlidir, bu virüstotal'da kolayca görülebilir ve işletim sistemine gelince, Win10'dan itibaren sertifikası iptal edilen bir dosya hemen engellenir ve Explorer'dan başlatılamaz. Ek olarak, bazı kuruluşlarda imzasız kodun (sistem araçları kullanılarak yapılandırılmış) çalıştırılması genellikle yasaktır ve bu haklıdır - tüm normal geliştiriciler uzun süredir programlarının ek çaba gerektirmeden kontrol edilebildiğinden emin olmuştur.
Genel olarak, İnternet'i deneyimsiz kullanıcılar için olabildiğince güvenli hale getirmek için mümkün olduğu ölçüde doğru yön seçilmiştir. Ancak uygulamanın kendisi hala ideal olmaktan uzaktır. Basit bir geliştirici sadece bir sertifika alamaz; bu pazarı tekelleştiren ve kendi şartlarını ona dikte eden şirketlerden satın alınması gerekir. Peki ya programlar ücretsizse? Kimse umursamaz. Daha sonra geliştiricinin bir seçeneği vardır - programlarının güvenliğini sürekli olarak kanıtlamak, kullanıcıların rahatlığından ödün vermek veya bir sertifika satın almak. Şu anda okyanusun dibinde yaşayan StartCom, üç yıl önce kârlıydı, hiçbir zaman herhangi bir sorun yaşanmamıştı. Şu anda minimum fiyat Comodo tarafından sağlanıyor ancak görünen o ki bir sorun var; onlar için geliştirici kelimenin tam anlamıyla hiç kimse ve onu aldatmak normal bir uygulama.
2018'in ortasında satın aldığım sertifikayı neredeyse bir yıl kullandıktan sonra, Comodo aniden, posta veya telefon yoluyla önceden bildirimde bulunmaksızın, hiçbir açıklama yapmadan sertifikayı iptal etti. Teknik destekleri iyi çalışmıyor - bir hafta boyunca yanıt vermeyebilirler, ancak yine de ana nedeni bulmayı başardılar - verilen sertifikanın kötü amaçlı yazılım tarafından imzalandığını düşünüyorlardı. Ve hikaye burada sona erebilirdi, tek bir şey olmasa bile; hiçbir zaman kötü amaçlı yazılım oluşturmadım ve kendi koruma yöntemlerim, özel anahtarımı çalmanın imkansız olduğunu söylememi sağlıyor. Yalnızca Comodo anahtarın bir kopyasına sahiptir çünkü bunları CSR olmadan yayınlarlar. Ve sonra - temel kanıtı bulmak için neredeyse iki hafta süren başarısız girişimler. Güya güvenlik korumasını garanti eden şirket, kurallarının ihlal edildiğine dair kanıt sunmayı açıkça reddetti.
Teknik destekle yapılan son sohbettenSen 01:20
"Standart destek bildirimlerine aynı iş günü içinde yanıt vermeye çalışıyoruz" diye yazmışsınız. ama bir haftadır cevap bekliyorum.
Vinson 01:20
Merhaba, Sectigo SSL Doğrulamasına Hoş Geldiniz!
Durumunuzu kontrol edeyim, lütfen bir dakika bekleyin.
Kontrol ettim ve kötü amaçlı yazılım/dolandırıcılık/kimlik avı nedeniyle üst düzey yetkilimiz tarafından siparişin iptal edildiği görüldü.
Sen 01:28
Bunun sizin hatanız olduğundan eminim, bu yüzden kanıt istiyorum.
Hiçbir zaman kötü amaçlı yazılım/dolandırıcılık/kimlik avı yaşamadım.
Vinson 01:30
Özür dilerim İskender. Tekrar kontrol ettim ve kötü amaçlı yazılım/dolandırıcılık/kimlik avı nedeniyle üst düzey yetkilimiz tarafından siparişin iptal edildiğini gördüm.
Sen 01:31
Virüsü hangi dosyada gördünüz? Virustotal'ın linki var mı? Cevabınızı kabul etmiyorum çünkü içinde kanıt yok. Bu sertifika için para ödedim ve paramın neden zorla benden alındığını bilme hakkım var.
Kanıt sağlayamazsanız, sertifika haksız yere iptal edilmiş demektir ve parayı iade etmeniz gerekir. Aksi takdirde belgelerinizi kanıt göstermeden iptal ederseniz yaptığınız işin ne anlamı kalır?
Vinson 01:34
Endişenizi anlıyorum. Kod imzalama sertifikasının kötü amaçlı yazılım dağıttığı bildirildi. Endüstri kurallarına göre: Sertifika Yetkilisi olarak Sectigo'nun sertifikayı iptal etmesi gerekir.
Ayrıca geri ödeme politikası uyarınca, veriliş tarihinden itibaren 30 gün geçtikten sonra geri ödeme yapamayız.
Sen 01:35
Neden bunun bir hata veya yanlış pozitif olmadığını düşünüyorsunuz?
Vinson 01:36
Özür dilerim İskender. Üst düzey yetkililerin raporuna göre, kötü amaçlı yazılım/dolandırıcılık/kimlik avı nedeniyle emir iptal edildi.
Sen 01:37
Özür dilemene gerek yok, parayı ödedim ve kurallarını ihlal ettiğime dair kanıt görmek istiyorum. Basit.
Üç yıl boyunca para ödedim, sonra sen bir sebep buldun ve beni belgesiz ve suçluluğuma dair bir kanıt olmadan bıraktın.
Vinson 01:43
Endişenizi anlıyorum. Kod imzalama sertifikasının kötü amaçlı yazılım dağıttığı bildirildi. Endüstri kurallarına göre: Sertifika Yetkilisi olarak Sectigo'nun sertifikayı iptal etmesi gerekir.
Sen 01:45
Anlamıyorsun gibi görünüyor. Delil olmadan ceza veren mahkemeyi nerede gördünüz? Sen de bunu yaptın. Hiç kötü amaçlı yazılımla karşılaşmadım. Varsa neden kanıt sunmuyorsunuz? Sertifika iptalinin kesin kanıtı nedir?
Vinson 01:46
Özür dilerim İskender. Üst düzey yetkililerin raporuna göre, kötü amaçlı yazılım/dolandırıcılık/kimlik avı nedeniyle emir iptal edildi.
Sen 01:47
Sertifikanın iptal edilmesinin gerçek sebebini kimden öğrenebilirim?
Cevap veremezsen kiminle iletişime geçeceğimi söyle?
Vinson 01:48
Mümkün olduğunca erken yanıt alabilmeniz için lütfen aşağıdaki bağlantıyı kullanarak yeniden bir destek bildirimi gönderin.
Sen 01:48
Teşekkür ederim.
Bu sonuç izole değildir, sohbetteki müzakerelerin her zamanında, en iyi ihtimalle aynı şeyi yanıtlarlar, biletler ya hiç yanıtlanmaz ya da cevaplar aynı derecede işe yaramaz.
Tekrar bir bilet oluşturuyorumBenim ricam:
İptale yol açan bir kuralı ihlal ettiğime dair kanıt istiyorum. Sertifika aldım ve paramın neden benden alındığını öğrenmek istiyorum.
"Kötü amaçlı yazılım/dolandırıcılık/kimlik avı" yanıt değil! Virüsü hangi dosyada gördünüz? Virustotal'ın linki var mı? Lütfen kanıt sağlayın veya parayı iade edin, teknik destek yazmaktan yoruldum ve bir haftadan fazladır bekliyorum.
Teşekkür ederim.
Cevapları:
Kod imzalama sertifikasının kötü amaçlı yazılım dağıttığı bildirildi. Endüstri kurallarına göre: Sertifika Yetkilisi olarak Sectigo'nun sertifikayı iptal etmesi gerekir.
Bana cevap verecek olanın maymun olmayacağına dair umut tamamen kayboldu. İlginç bir diyagram ortaya çıkıyor:
- Sertifika satıyoruz.
- Altı aydan fazla süredir PayPal aracılığıyla bir anlaşmazlık açmanın imkansız hale gelmesini bekliyoruz.
- Geri çağırıyoruz ve bir sonraki siparişi bekliyoruz. Kâr!
Onları etkilemek için başka yöntemim olmadığından dolandırıcılıklarını ancak kamuoyuna açıklayabilirim. Sectigo olarak da bilinen Comodo'dan sertifika satın alırken de aynı durumla karşılaşabilirsiniz.
9 Haziran Güncellemesi:
Bugün CodeSignCert'e (sertifikayı satın aldığım şirket) yanıt vermeyi bıraktıklarından bu makaleye bir bağlantı vererek durumu kamuoyunun tartışmasına sunduğumu bildirdim. Bir süre sonra nihayet virustotal'ın program karmasının görünür olduğu bir ekran görüntüsünü gönderdiler. :
VirüsToplam -
Duruma ilişkin değerlendirmem:
Bunun yanlış bir pozitif olduğunu güvenle söyleyebilirim. İşaretler:
- Çoğu durumda Genel Tanım.
- Antivirüs liderlerinden herhangi bir tespit yok.
Antivirüslerin böyle bir tepkisine tam olarak neyin sebep olduğunu söylemek zor, ancak dosya çok eski olduğundan (neredeyse bir yıl önce oluşturuldu), dosyayı ikili olarak yeniden oluşturmak için 1.6.1 sürümünün kaynak kodunu kaydetmedim. . Bununla birlikte, en son sürüm 1.6.5'e sahibim ve ana dalın değişmezliği göz önüne alındığında, orada çok az değişiklik yapıldı, ancak bu tür yanlış pozitifler yok:
VirüsToplam -
CodeSignCert'e yanlış pozitif bildirimi yapıldı; görüşmelerin yeni sonuçları elde edildiğinde makale, durum tamamen çözülene kadar güncellenecektir.
Kaynak: habr.com