Katta kompaniya o'z mijozlarini aldashini tasavvur qila olasizmi, ayniqsa, agar bu kompaniya o'zini xavfsizlik kafolati sifatida ko'rsatsa? Shuning uchun men yaqin vaqtgacha qila olmadim. Ushbu maqola Comodo-dan kod imzolash sertifikatini sotib olishdan oldin ikki marta o'ylab ko'rish uchun ogohlantirishdir.
Ishim (tizim boshqaruvi) doirasida men o'z ishimda faol foydalanadigan turli xil foydali dasturlarni tayyorlayman va shu bilan birga ularni hamma uchun bepul joylashtiraman. Taxminan uch yil oldin, dasturlarni imzolash zarurati bor edi, aks holda mening barcha mijozlarim va foydalanuvchilarim ularni imzolanmaganligi sababli muammosiz yuklab olishlari mumkin emas edi. Imzolash uzoq vaqtdan beri odatiy amaliyot bo'lib kelgan va dastur qanchalik xavfsiz bo'lishidan qat'i nazar, lekin agar u imzolanmasa, unga e'tibor yanada kuchayadi:
- Brauzer faylning qanchalik tez-tez yuklab olinishi haqida statistik ma'lumotlarni to'playdi va agar u imzolanmagan bo'lsa, dastlabki bosqichda hatto "har qanday holatda" bloklanishi mumkin va saqlash uchun foydalanuvchidan aniq tasdiqlashni talab qiladi. Algoritmlar boshqacha, ba'zida domen ishonchli hisoblanadi, lekin umuman olganda, bu xavfsizlikni tasdiqlovchi haqiqiy imzo.
- Yuklab olingandan so'ng, fayl antivirus tomonidan ko'rib chiqiladi va OTning o'zi boshlanishidan oldin darhol. Antiviruslar uchun imzo ham muhim, buni virustotal-da osongina ko'rish mumkin va OSga kelsak, Win10-dan boshlab, bekor qilingan sertifikatga ega fayl darhol bloklanadi va Explorer-dan ishga tushirilmaydi. Bundan tashqari, ba'zi tashkilotlarda odatda imzosiz kodni ishlatish taqiqlanadi (tizim vositalaridan foydalangan holda sozlangan) va bu oqlanadi - barcha oddiy ishlab chiquvchilar o'zlarining dasturlarini qo'shimcha harakatlarsiz tekshirishlari mumkinligiga uzoq vaqtdan beri ishonch hosil qilishgan.
Umuman olganda, to'g'ri yo'nalish tanlandi - imkon qadar, tajribasiz foydalanuvchilar uchun Internetni imkon qadar xavfsiz qilish. Biroq, amalga oshirishning o'zi hali ham idealdan uzoqdir. Oddiy ishlab chiquvchi shunchaki sertifikat ololmaydi, uni ushbu bozorni monopoliyaga olgan va unga o'z shartlarini belgilagan kompaniyalardan sotib olish kerak. Ammo dasturlar bepul bo'lsa-chi? Hech kim qayg'uradi. Keyin ishlab chiquvchining tanlovi bor - doimiy ravishda o'z dasturlari xavfsizligini isbotlash, foydalanuvchilarning qulayligini qurbon qilish yoki sertifikat sotib olish. Uch yil oldin, hozirda okean tubida yashaydigan StartCom daromadli edi, ular bilan hech qachon muammo bo'lmagan. Ayni paytda minimal narx Comodo tomonidan taqdim etilgan, ammo ma'lum bo'lishicha, bir narsa bor - ular uchun ishlab chiquvchi tom ma'noda hech kim va uni aldash odatiy amaliyotdir.
2018 yil o'rtalarida sotib olgan sertifikatdan deyarli bir yil foydalanganimdan so'ng, to'satdan pochta yoki telefon orqali oldindan ogohlantirmasdan Comodo uni hech qanday tushuntirishsiz bekor qildi. Ularning texnik yordami yaxshi ishlamayapti - ular bir hafta davomida javob bermasligi mumkin, ammo ular baribir asosiy sababni aniqlashga muvaffaq bo'lishdi - ular berilgan sertifikat zararli dastur tomonidan imzolangan deb hisoblashdi. Va hikoya shu bilan tugashi mumkin edi, agar bitta narsa bo'lmasa - men hech qachon zararli dastur yaratmaganman va shaxsiy himoya usullarim shaxsiy kalitimni o'g'irlash mumkin emasligini aytishimga imkon beradi. Faqat Comodo-da kalitning nusxasi bor, chunki ular ularni CSRsiz chiqaradilar. Va keyin - elementar dalillarni topish uchun deyarli ikki hafta muvaffaqiyatsiz urinishlar. Xavfsizlikni himoya qilishni kafolatlaydigan kompaniya o'z qoidalari buzilganligi to'g'risida dalillarni taqdim etishdan qat'iyan rad etdi.
Texnik yordam bilan oxirgi suhbatdanSiz 01:20
Siz “Biz standart qo‘llab-quvvatlash chiptalariga xuddi shu ish kuni ichida javob berishga intilamiz” deb yozgansiz. lekin men bir haftadan beri javob kutyapman.
Vinson 01:20
Salom, Sectigo SSL Validation-ga xush kelibsiz!
Ishingiz holatini tekshirishga ijozat bering, bir daqiqa kutib turing.
Men tekshirdim va yuqori mansabdor shaxsimiz tomonidan zararli dastur/firibgarlik/fishing tufayli buyurtma bekor qilindi.
Siz 01:28
Ishonchim komilki, bu sizning xatoingiz, shuning uchun men dalil so'rayman.
Menda hech qachon zararli dastur/firibgarlik/phishing bo'lmagan.
Vinson 01:30
Kechirasiz, Aleksandr. Men ikki marta tekshirdim va yuqori amaldorimiz tomonidan zararli dastur/firibgarlik/fishing tufayli buyurtma bekor qilindi.
Siz 01:31
Virusni qaysi faylda ko'rdingiz? Virustotalga havola bormi? Men sizning javobingizni qabul qilmayman, chunki unda hech qanday dalil yo'q. Men bu sertifikat uchun pul to'laganman va nega mening pulimni majburan tortib olganini bilishga haqliman.
Agar siz dalil keltira olmasangiz, sertifikat nohaq bekor qilingan va pulni qaytarishingiz kerak. Aks holda, guvohnomalarni isbotsiz bekor qilsangiz, ishingizning ma’nosi nima?
Vinson 01:34
Men sizning tashvishingizni tushunaman. Zararli dasturlarni tarqatish uchun kod imzolash sertifikati haqida xabar berilgan. Sanoat ko'rsatmalariga ko'ra: Sertifikat organi sifatida Sectigo sertifikatni bekor qilish uchun talab qilinadi.
Shuningdek, to'lovni qaytarish siyosatiga ko'ra, biz berilgan kundan boshlab 30 kundan keyin qaytarib bera olmaymiz.
Siz 01:35
Nima uchun bu xato yoki noto'g'ri ijobiy emas deb o'ylaysiz?
Vinson 01:36
Kechirasiz, Aleksandr. Yuqori amaldorlarimizning xabariga ko'ra, buyurtma zararli dastur/firibgarlik/fishing tufayli bekor qilingan.
Siz 01:37
Kechirim so'rashning hojati yo'q, men pul to'laganman va sizning qoidalaringizni buzganimni isbotlashni xohlayman. Bu oddiy.
Men uch yil to‘ladim, keyin bir sababni o‘ylab topib, ma’lumotnomasiz, aybim isbotsiz tashlab ketdingiz.
Vinson 01:43
Men sizning tashvishingizni tushunaman. Zararli dasturlarni tarqatish uchun kod imzolash sertifikati haqida xabar berilgan. Sanoat ko'rsatmalariga ko'ra: Sertifikat organi sifatida Sectigo sertifikatni bekor qilish uchun talab qilinadi.
Siz 01:45
Siz tushunmayotganga o'xshaysiz. Hukmni isbotsiz chiqaradigan sudni qayerda ko'rdingiz? Siz aynan shunday qildingiz. Menda hech qachon zararli dastur bo'lmagan. Agar shunday bo'lsa, nega dalil keltirmaysiz? Sertifikatning bekor qilinishi qanday aniq dalil hisoblanadi?
Vinson 01:46
Kechirasiz, Aleksandr. Yuqori amaldorlarimizning xabariga ko'ra, buyurtma zararli dastur/firibgarlik/fishing tufayli bekor qilingan.
Siz 01:47
Sertifikatni bekor qilishning haqiqiy sababini kimdan bilib olishim mumkin?
Agar javob bera olmasangiz, kimga murojaat qilishni ayting?
Vinson 01:48
Iltimos, iloji boricha tezroq javob olishingiz uchun quyidagi havola orqali chiptani qayta yuboring.
Siz 01:48
Rahmat.
Bu natija alohida emas, chatdagi muzokaralarning barcha vaqti, eng yaxshisi, ular bir xil narsaga javob berishadi, chiptalar yoki umuman javob berilmaydi yoki javoblar xuddi befoyda.
Men yana chipta yaratyapmanMening iltimosim:
Men bekor qilishga olib kelgan qoidani buzganimni isbotlashni talab qilaman. Men sertifikat sotib oldim va nima uchun pulim mendan olinganini bilmoqchiman.
"Zararli dastur/firibgarlik/fishing" bu javob emas! Virusni qaysi faylda ko'rdingiz? Virustotalga havola bormi? Iltimos, dalil taqdim eting yoki pulni qaytaring, men texnik yordam yozishdan charchadim va bir haftadan ko'proq vaqt kutyapman.
Rahmat.
Ularning javobi:
Zararli dasturlarni tarqatish uchun kod imzolash sertifikati haqida xabar berilgan. Sanoat ko'rsatmalariga ko'ra: Sertifikat organi sifatida Sectigo sertifikatni bekor qilish uchun talab qilinadi.
Maymun menga javob bermaydi degan umid butunlay yo'qoladi. Qiziqarli diagramma paydo bo'ladi:
- Biz sertifikat sotamiz.
- PayPal orqali nizoni ochishning iloji bo'lmasligi uchun biz olti oydan ortiq kutdik.
- Biz eslaymiz va keyingi buyurtmani kutmoqdamiz. Foyda!
Menda ularga ta'sir qilishning boshqa usullari yo'qligi sababli, men faqat ularning firibgarliklarini ommaga oshkor qila olaman. Sectigo nomi bilan ham tanilgan Comodo sertifikatini sotib olayotganda siz ham xuddi shunday vaziyatga duch kelishingiz mumkin.
9-iyun yangilanishi:
Bugun men CodeSignCert-ga (men sertifikat sotib olgan kompaniya) xabar berdim, ular javob berishni to'xtatganlari uchun men ushbu maqolaga havola bilan vaziyatni jamoatchilik muhokamasiga olib chiqdim. Biroz vaqt o'tgach, ular nihoyat virustotal skrinshotini yuborishdi, bu erda dastur xeshi ko'rindi :
VirusTotal -
Vaziyatni baholashim:
Ishonch bilan ayta olamanki, bu noto'g'ri ijobiy. Belgilari:
- Belgilanish ko'p hollarda umumiy.
- Antivirus rahbarlari tomonidan aniqlanmagan.
Antiviruslarning bunday reaktsiyasiga nima sabab bo'lganini aytish qiyin, lekin fayl juda eskirganligi sababli (u deyarli bir yil oldin yaratilgan), menda faylni ikkilik qayta yaratish uchun saqlangan 1.6.1 versiyasining manba kodi yo'q edi. . Biroq, menda eng so'nggi 1.6.5 versiyasi bor va asosiy filialning o'zgarmasligini hisobga olgan holda, u erda minimal o'zgarishlar kiritilgan, ammo bunday noto'g'ri pozitivlar yo'q:
VirusTotal -
CodeSignCert noto'g'ri pozitiv haqida xabardor qilingan; muzokaralarning keyingi natijalari mavjud bo'lganda, maqola vaziyat to'liq hal etilmaguncha yangilanadi.
Manba: www.habr.com