Bạn có thể tưởng tượng rằng một công ty lớn sẽ lừa dối khách hàng của mình, đặc biệt nếu công ty này tự coi mình là người bảo đảm an ninh? Vì vậy, tôi không thể cho đến gần đây. Bài viết này là lời cảnh báo nên suy nghĩ kỹ trước khi mua chứng chỉ ký mã từ Comodo.
Là một phần công việc của mình (quản trị hệ thống), tôi tạo ra nhiều chương trình hữu ích khác nhau mà tôi tích cực sử dụng trong công việc của mình, đồng thời tôi đăng chúng miễn phí cho mọi người. Khoảng ba năm trước, cần phải ký các chương trình, nếu không, không phải tất cả khách hàng và người dùng của tôi đều có thể tải xuống mà không gặp vấn đề gì chỉ vì chúng chưa được ký. Việc ký kết từ lâu đã trở thành một thông lệ bình thường và cho dù chương trình có an toàn đến đâu, nhưng nếu nó không được ký, chắc chắn sẽ có nhiều sự chú ý hơn đến nó:
- Trình duyệt thu thập số liệu thống kê về tần suất tải xuống một tệp và khi nó không được ký, ở giai đoạn đầu, nó thậm chí có thể bị chặn "để đề phòng" và yêu cầu người dùng xác nhận rõ ràng để lưu. Các thuật toán khác nhau, đôi khi tên miền được coi là đáng tin cậy, nhưng nhìn chung đó là chữ ký hợp lệ xác nhận tính bảo mật.
- Sau khi tải xuống, phần mềm chống vi-rút sẽ xem xét tệp ngay trước khi hệ điều hành khởi động. Đối với phần mềm chống vi-rút, chữ ký cũng rất quan trọng, điều này có thể dễ dàng nhận thấy trên virustotal và đối với hệ điều hành, bắt đầu từ Win10, tệp có chứng chỉ bị thu hồi sẽ ngay lập tức bị chặn và không thể khởi chạy từ Explorer. Ngoài ra, ở một số tổ chức, việc chạy mã không dấu (được định cấu hình bằng các công cụ hệ thống) thường bị cấm và điều này là hợp lý - tất cả các nhà phát triển bình thường từ lâu đã đảm bảo rằng chương trình của họ có thể được kiểm tra mà không cần nỗ lực thêm.
Nhìn chung, hướng đi đúng đắn đã được chọn - trong phạm vi có thể, giúp Internet trở nên an toàn nhất có thể đối với những người dùng thiếu kinh nghiệm. Tuy nhiên, bản thân việc thực hiện vẫn còn xa lý tưởng. Một nhà phát triển đơn giản không thể đơn giản lấy được chứng chỉ; nó phải được mua từ các công ty đã độc quyền thị trường này và đưa ra các điều khoản của họ về nó. Nhưng nếu các chương trình này miễn phí thì sao? Không ai quan tâm. Sau đó, nhà phát triển có một lựa chọn - liên tục chứng minh tính an toàn cho các chương trình của mình, hy sinh sự tiện lợi cho người dùng hoặc mua chứng chỉ. Ba năm trước, StartCom, hiện đang sống dưới đáy đại dương, đã có lãi và chưa bao giờ có bất kỳ vấn đề nào với họ. Hiện tại, mức giá tối thiểu được cung cấp bởi Comodo, nhưng hóa ra, có một nhược điểm - đối với họ, nhà phát triển thực sự không là ai cả và lừa dối anh ta là chuyện bình thường.
Sau gần một năm sử dụng chứng chỉ tôi mua vào giữa năm 2018, bỗng nhiên Comodo thu hồi chứng chỉ mà không báo trước qua thư hay điện thoại mà không giải thích. Bộ phận hỗ trợ kỹ thuật của họ không hoạt động tốt - họ có thể không phản hồi trong một tuần, nhưng họ vẫn tìm ra lý do chính - họ cho rằng chứng chỉ được cấp đã được ký bởi phần mềm độc hại. Và câu chuyện có thể đã kết thúc ở đó, nếu không vì một điều - tôi chưa bao giờ tạo phần mềm độc hại và các phương pháp bảo vệ của riêng tôi cho phép tôi nói rằng không thể đánh cắp khóa riêng của mình. Chỉ Comodo mới có bản sao khóa vì họ phát hành chúng mà không cần CSR. Và sau đó - gần hai tuần cố gắng không thành công để tìm ra bằng chứng cơ bản. Công ty, được cho là đảm bảo bảo vệ an ninh, đã thẳng thừng từ chối cung cấp bằng chứng về việc vi phạm các quy tắc của họ.
Từ cuộc trò chuyện cuối cùng với bộ phận hỗ trợ kỹ thuậtBạn 01:20
Bạn đã viết “Chúng tôi cố gắng phản hồi các yêu cầu hỗ trợ tiêu chuẩn trong cùng một ngày làm việc.” nhưng tôi đã đợi phản hồi cả tuần nay rồi.
Vinson 01:20
Xin chào, Chào mừng bạn đến với Xác thực SSL Sectigo!
Hãy để tôi kiểm tra tình trạng trường hợp của bạn, vui lòng đợi một phút.
Tôi đã kiểm tra và đơn đặt hàng đã bị thu hồi do quan chức cấp trên của chúng tôi có phần mềm độc hại/lừa đảo/lừa đảo.
Bạn 01:28
Tôi chắc chắn rằng đây là sai lầm của bạn, vì vậy tôi yêu cầu bằng chứng.
Tôi chưa bao giờ gặp phải phần mềm độc hại/lừa đảo/lừa đảo.
Vinson 01:30
Tôi xin lỗi, Alexander. Tôi đã kiểm tra kỹ và đơn đặt hàng đã bị thu hồi do quan chức cấp trên của chúng tôi có phần mềm độc hại/lừa đảo/lừa đảo.
Bạn 01:31
Bạn thấy virus ở tập tin nào? Có liên kết đến virustotal không? Tôi không chấp nhận câu trả lời của bạn vì không có bằng chứng trong đó. Tôi đã trả tiền cho chứng chỉ này và tôi có quyền biết lý do tại sao tiền của tôi bị lấy đi bằng vũ lực.
Nếu không thể cung cấp bằng chứng thì chứng chỉ đó đã bị thu hồi oan và phải trả lại tiền. Mặt khác, công việc của bạn có ý nghĩa gì nếu bạn thu hồi chứng chỉ mà không có bằng chứng?
Vinson 01:34
Tôi hiểu mối quan tâm của bạn. Chứng chỉ ký mã đã được báo cáo là phát tán phần mềm độc hại. Theo nguyên tắc của ngành: Sectigo với tư cách là Cơ quan cấp chứng chỉ được yêu cầu thu hồi chứng chỉ.
Cũng theo chính sách hoàn tiền, chúng tôi sẽ không thể hoàn tiền sau 30 ngày kể từ ngày phát hành.
Bạn 01:35
Tại sao bạn nghĩ rằng đây không phải là một sai sót hoặc một kết quả dương tính giả?
Vinson 01:36
Tôi xin lỗi, Alexander. Theo báo cáo của các quan chức cấp cao hơn của chúng tôi, đơn đặt hàng đã bị thu hồi do phần mềm độc hại/lừa đảo/lừa đảo.
Bạn 01:37
Không cần phải xin lỗi, tôi đã trả tiền và tôi muốn xem bằng chứng cho thấy tôi đã vi phạm quy định của bạn. Nó đơn giản.
Tôi đã trả tiền trong ba năm, sau đó bạn nghĩ ra lý do và bỏ mặc tôi mà không có giấy chứng nhận cũng như bằng chứng về tội lỗi của tôi.
Vinson 01:43
Tôi hiểu mối quan tâm của bạn. Chứng chỉ ký mã đã được báo cáo là phát tán phần mềm độc hại. Theo nguyên tắc của ngành: Sectigo với tư cách là Cơ quan cấp chứng chỉ được yêu cầu thu hồi chứng chỉ.
Bạn 01:45
Có vẻ như bạn không hiểu. Bạn đã thấy tòa án tuyên án mà không có bằng chứng ở đâu? Bạn đã làm điều đó. Tôi chưa bao giờ có phần mềm độc hại. Tại sao bạn không cung cấp bằng chứng nếu có? Bằng chứng cụ thể nào là việc thu hồi chứng chỉ?
Vinson 01:46
Tôi xin lỗi, Alexander. Theo báo cáo của các quan chức cấp cao hơn của chúng tôi, đơn đặt hàng đã bị thu hồi do phần mềm độc hại/lừa đảo/lừa đảo.
Bạn 01:47
Tôi có thể tìm ai để biết lý do thực sự của việc thu hồi chứng chỉ?
Nếu bạn không thể trả lời, hãy cho tôi biết phải liên hệ với ai?
Vinson 01:48
Vui lòng gửi lại yêu cầu bằng liên kết bên dưới để bạn nhận được phản hồi sớm nhất có thể.
Bạn 01:48
Cảm ơn bạn.
Kết quả này không hề biệt lập, trong suốt thời gian đàm phán trong cuộc trò chuyện, tốt nhất là họ đều trả lời những điều giống nhau, vé hoặc không được trả lời chút nào, hoặc câu trả lời cũng vô dụng.
Tôi đang tạo lại véYêu cầu của tôi:
Tôi yêu cầu bằng chứng cho thấy tôi đã vi phạm quy tắc dẫn đến việc bị thu hồi. Tôi đã mua một chứng chỉ và muốn biết tại sao tiền của tôi lại bị lấy đi.
"phần mềm độc hại/lừa đảo/lừa đảo" không phải là câu trả lời! Bạn thấy virus ở tập tin nào? Có liên kết đến virustotal không? Vui lòng cung cấp bằng chứng hoặc trả lại tiền, tôi mệt mỏi khi viết hỗ trợ kỹ thuật và đã chờ hơn một tuần.
Cảm ơn bạn.
Câu trả lời của họ:
Chứng chỉ ký mã đã được báo cáo là phát tán phần mềm độc hại. Theo nguyên tắc của ngành: Sectigo với tư cách là Cơ quan cấp chứng chỉ được yêu cầu thu hồi chứng chỉ.
Niềm hy vọng rằng không phải con khỉ sẽ trả lời tôi đã hoàn toàn mất đi. Một sơ đồ thú vị xuất hiện:
- Chúng tôi bán một giấy chứng nhận.
- Chúng tôi đã chờ đợi hơn sáu tháng nên không thể mở tranh chấp thông qua PayPal.
- Chúng tôi đang thu hồi và chờ lệnh tiếp theo. Lợi nhuận!
Vì tôi không có phương pháp nào khác để tác động đến họ nên tôi chỉ có thể công khai hành vi gian lận của họ. Khi mua chứng chỉ từ Comodo, còn được gọi là Sectigo, bạn có thể gặp phải tình huống tương tự.
Cập nhật ngày 9 tháng XNUMX:
Hôm nay, tôi đã thông báo cho CodeSignCert (công ty mà tôi đã mua chứng chỉ) rằng vì họ ngừng phản hồi nên tôi đã đưa tình huống này ra thảo luận công khai kèm theo liên kết tới bài viết này. Sau một thời gian, cuối cùng họ đã gửi một ảnh chụp màn hình của virustotal, trong đó có thể nhìn thấy hàm băm của chương trình :
Tổng số virus -
Đánh giá của tôi về tình hình:
Tôi có thể tự tin nói rằng đây là một kết quả dương tính giả. Dấu hiệu:
- Chỉ định Chung trong hầu hết các trường hợp.
- Không có phát hiện nào từ các nhà lãnh đạo chống vi-rút.
Thật khó để nói chính xác điều gì đã gây ra phản ứng như vậy từ các phần mềm chống vi-rút, nhưng vì tệp đã rất lỗi thời (nó được tạo gần một năm trước) nên tôi không lưu mã nguồn của phiên bản 1.6.1 để tạo lại tệp nhị phân. . Tuy nhiên, tôi có phiên bản 1.6.5 mới nhất và do tính bất biến của nhánh chính nên những thay đổi tối thiểu đã được thực hiện ở đó, nhưng không có kết quả dương tính giả nào như vậy:
Tổng số virus -
CodeSignCert đã được thông báo về kết quả dương tính giả; khi có thêm kết quả đàm phán, bài viết sẽ được cập nhật cho đến khi tình hình được giải quyết hoàn toàn.
Nguồn: www.habr.com