Чи могли ви уявити, що велика компанія займатиметься обманом своїх клієнтів, особливо якщо ця компанія позиціонує себе гарантом безпеки? Ось і я не міг донедавна. Ця стаття є застереженням, щоб ви спочатку десять разів подумали, перед тим як купувати сертифікат для підпису коду у Comodo.
За обов'язком своєї роботи (системне адміністрування) я роблю різні корисні програми, які активно використовую у своїй роботі, а заодно безкоштовно викладаю для всіх бажаючих. Близько трьох років тому назріла необхідність підписувати програми, інакше не всі мої клієнти та користувачі могли без проблем завантажувати їх лише через те, що вони не підписані. Вже давно підпис є нормальною практикою і не важливо, наскільки безпечною є програма, але якщо вона не підписана, до неї обов'язково буде підвищена увага:
- Браузер збирає статистику, як часто завантажується файл, і коли він не підписаний, то на початковому етапі він може навіть блокуватися "про всяк випадок" і вимагати від користувача явне підтвердження на збереження. Алгоритми бувають різні, іноді і домен вважається довіреним, але загалом саме валідний підпис є підтвердженням безпеки.
- Після завантаження файл дивиться антивірус і перед запуском сама ОС. Для антивірусів підпис теж є важливим, це легко простежити на virustotal, а щодо ОС, починаючи з Win10 файл з відкликаним сертифікатом відразу блокується і його не можна запустити з провідника. До того ж у деяких організаціях взагалі заборонено запуск непідписаного коду (налаштовується засобами системи), і це виправдано — всі нормальні розробники давно подбали про те, щоб їх програми можна було перевірити без додаткових зусиль.
Загалом напрям вибраний правильний — у міру можливостей робити інтернет якомога безпечнішим для недосвідчених користувачів. Проте сама реалізація поки що далека від ідеалу. Простий розробник не може отримати сертифікат, його потрібно купувати у компаній, які монополізували цей ринок і диктують на ньому свої умови. Але якщо програми безкоштовні? Це нікого не турбує. Тоді у розробника з'являється вибір - постійно доводити безпеку своїх програм, жертвуючи зручністю користувачів, або купувати сертифікат. Три роки тому вигідним був StartCom, який зараз мешкає на дні океану, з ними ніколи не було проблем. На даний момент мінімальну ціну надає Comodo, але, як виявилося, є каверза — для них розробник буквально ніхто і кинути його — нормальна практика.
Майже через рік використання сертифіката, який я купував у середині 2018-го, раптово, без попереднього повідомлення поштою або телефоном, Comodo відкликала його без пояснення причин. Техпідтримка у них працює погано - можуть не відповідати тиждень, проте основну причину все ж таки вдалося дізнатися - вони вважали, що виданим сертифікатом було підписано шкідливе ПЗ. І на тому історію можна було б закінчувати, якби не одне але — я ніколи не створював шкідливе програмне забезпечення, а власні методи захисту дозволяють стверджувати, що і вкрасти закритий ключ у мене неможливо. Копія ключа є лише у Comodo, тому що вони видають їх без CSR. А далі — майже два тижні безуспішних спроб дізнатися про елементарний доказ. Компанія, яка нібито гарантує захист у сфері безпеки, відмовилася надавати доказ порушення їхніх правил.
З останнього чату з техпідтримкоюYou 01:20
You haw writen "Ви strive to respond to standard support tickets within the same business day." but I have been waiting for a response for a week now.
Vinson 01:20
Hi, Welcome to Sectigo SSL Validation!
Let me check your case status, please hold on for a minute.
Я був checked and order буде been revoked due до malware/fraud/phishing до нашого високого офіційного.
You 01:28
I am sure that this is your mistake, so I ask for proof.
I've never had malware/fraud/phishing.
Vinson 01:30
I am sorry, Олександр. Я мав XNUMX-утриманий checked and order буде been revoked due до malware/fraud/phishing до нашого високого офіційного.
You 01:31
In which file did you see the virus? Чи є link to virustotal? Я не знаю, що ця відповідь тому, що це не є проблемою. I paid money for this certificate and I have right to know why my money is taken from me by force.
Якщо ви не можете наказати, хто з'являється, він був занепокоєний і необов'язково повертається до грошей. Іншийвідповідь, що це рішення для вашої роботи, якщо ви збираєтеся оцінки безвідповіді?
Vinson 01:34
I understand your concern. The code signing certificate має бути reported for distributing malware. Як для промислових guidelines: Sectigo як Certificate Authority є необхідним, щоб відповісти на certificate.
Але як для реfund policy, ми не можемо дати refund після 30 днів від часу issuance.
You 01:35
Why do you think this is not a mistake або false positive?
Vinson 01:36
I am sorry, Олександр. Як для наших великих офіційних повідомлень, то, наскільки ти будеш повертається до malware/fraud/phishing.
You 01:37
Не потрібно до апологізації, я збираю гроші і я хотів би скаржитися на те, що я забитий своїми правилами. It's simple.
I платити за три роки, вони будуть вестися з reason and left me without a certificate and without proof of my guilt.
Vinson 01:43
I understand your concern. The code signing certificate має бути reported for distributing malware. Як для промислових guidelines: Sectigo як Certificate Authority є необхідним, щоб відповісти на certificate.
You 01:45
Це seems that you do not understand. Where did you see the court that passes the sentence without proof? You did just that. I have never had malware. Why do you not provide proof if it is? What specific proof is a certificate revocation?
Vinson 01:46
I am sorry, Олександр. Як для наших великих офіційних повідомлень, то, наскільки ти будеш повертається до malware/fraud/phishing.
You 01:47
Who can I find out the real reason for revoking the certificate?
Якщо ви не можете answer, tell me who to contact?
Vinson 01:48
Please submit a ticket again using the below link so that you should receive a response as earlier as possible.
You 01:48
Дякую.
Такий результат не поодинокий, весь час переговорів у чаті в кращому випадку відповідають те саме, на тикети або не відповідають зовсім, або відповіді настільки ж марні.
Знову створюю тикетМій запит:
I require proof that I violated a rule that led to revocation. I bought a certificate and want to know why my money is taken from me.
"malware/fraud/phishing" is not the answer! In which file did you see the virus? Чи є link to virustotal? Please provide proof or return the money, I'm tired of writing technical support і має been waiting for more than a week.
Дякую.
Їхня відповідь:
The code signing certificate має бути reported for distributing malware. Як для промислових guidelines: Sectigo як Certificate Authority є необхідним, щоб відповісти на certificate.
Надія на те, що мені відповість не мавпа, зникає. Цікава вимальовується схема:
- Продаємо сертифікат.
- Чекаємо більше ніж півроку, щоб через PayPal не можна було відкрити суперечку.
- Відкликаємо та чекаємо наступне замовлення. Профіт!
Оскільки у мене немає на них інших методів впливу, я можу тільки оприлюднити їх шахрайство. Купуючи сертифікат у Comodo, вони ж Sectigo ви можете зіткнутися з такою ж ситуацією.
Оновлення від 9 червня:
Сьогодні я повідомив CodeSignCert (компанію, через яку купував сертифікат) про те, що оскільки вони перестали відповідати, то виніс ситуацію на публічне обговорення з посиланням на цю статтю. Через деякий час вони нарешті надіслали скріншот virustotal, де було видно хеш програми :
VirusTotal
Моя оцінка ситуації:
З упевненістю можу сказати, що це хибне спрацювання. Ознаки:
- Позначення Generic у більшості спрацьовувань.
- Відсутність спрацьовувань у антивірусних лідерів.
Важко сказати, що саме викликало таку реакцію антивірусів, але так як файл сильно застарів (був створений майже рік тому), то у мене не зберігся вихідний варіант версії 1.6.1, щоб бінарно відтворити файл. Однак у мене є остання версія 1.6.5, і з огляду на незмінність основної гілки зміни там вносилися мінімальні, але на неї немає такого помилкового спрацьовування:
VirusTotal
CodeSignCert повідомлено про помилкове спрацювання, після появи подальших результатів переговорів стаття оновлюватиметься до повного вирішення ситуації.
Джерело: habr.com