你能想象一家大公司会欺骗它的客户吗,尤其是当这家公司将自己定位为安全保证者时? 所以直到最近我才可以。 本文警告您在从 Comodo 购买代码签名证书之前要三思。
作为我工作(系统管理)的一部分,我制作了各种有用的程序,并在自己的工作中积极使用它们,同时我将它们免费发布给大家。 大约三年前,需要对程序进行签名,否则并非我所有的客户和用户都可以因为未签名而毫无问题地下载它们。 签名早已成为一种常态,无论程序多么安全,但如果不签名,肯定会引起更多关注:
- 浏览器会收集文件下载频率的统计数据,当文件未签名时,在初始阶段甚至可能会被阻止“以防万一”,并需要用户明确确认才能保存。 算法不同,有时域被认为是可信的,但一般来说它是确认安全性的有效签名。
- 下载后,防病毒软件会在操作系统启动之前立即查看该文件。 对于防病毒软件来说,签名也很重要,这在virustotal上可以很容易地看到,而对于操作系统,从Win10开始,证书被吊销的文件会立即被阻止,并且无法从资源管理器启动。 此外,在某些组织中,通常禁止运行未签名的代码(使用系统工具配置),这是有道理的——所有普通开发人员长期以来都确保他们的程序可以在不需要额外努力的情况下进行检查。
总的来说,已经选择了正确的方向 - 尽可能地使互联网对于没有经验的用户来说尽可能安全。 然而,实施本身还远未达到理想状态。 一个简单的开发者不能简单地获得证书;它必须从垄断这个市场的公司那里购买,并制定他们的条款。 但如果这些程序是免费的呢? 没人在乎。 那么开发者就有一个选择——不断地证明他的程序的安全性,牺牲用户的便利性,或者购买证书。 三年前,现在生活在海底的StartCom是盈利的;他们从来没有出现过任何问题。 目前,Comodo 提供了最低价格,但事实证明,有一个问题——对他们来说,开发商实际上是一个无名小卒,欺骗他是正常的做法。
我在 2018 年年中购买的证书使用了近一年后,Comodo 在没有事先通过邮件或电话通知的情况下突然撤销了该证书,且没有任何解释。 他们的技术支持效果不佳——他们可能一周都没有回复,但他们仍然设法找出主要原因——他们认为颁发的证书是由恶意软件签名的。 如果不是因为一件事,故事可能就到此为止了——我从未创建过恶意软件,而且我自己的保护方法让我可以说不可能窃取我的私钥。 只有 Comodo 拥有密钥副本,因为他们在没有 CSR 的情况下颁发密钥。 然后——近两周的尝试找出基本证明,但没有成功。 该公司本应保证安全保护,却断然拒绝提供违反其规定的证据。
从上次与技术支持的聊天来看你 01:20
您写道“我们努力在同一工作日内回复标准支持请求。” 但我已经等一周了。
文森 01:20
您好,欢迎来到 Sectigo SSL 验证!
让我检查一下您的案件状态,请稍等。
我已经检查过,由于我们的高级官员存在恶意软件/欺诈/网络钓鱼,该命令已被撤销。
你 01:28
我确信这是你的错误,所以我要求提供证据。
我从未遇到过恶意软件/欺诈/网络钓鱼。
文森 01:30
对不起,亚历山大。 我已经仔细检查过,由于我们的高级官员存在恶意软件/欺诈/网络钓鱼,该订单已被撤销。
你 01:31
您在哪个文件中看到病毒? 有virustotal的链接吗? 我不接受你的回答,因为它没有证据。 我花钱买了这个证书,我有权知道为什么我的钱被强行拿走。
如果您不能提供证明,那么该证书被不公平地撤销,必须退还款项。 否则,没有证据就吊销证书,你的工作还有什么意义呢?
文森 01:34
我理解你的担忧。 据报道,代码签名证书用于分发恶意软件。 根据行业指南:Sectigo 作为证书颁发机构需要吊销证书。
另外,根据退款政策,自发出之日起 30 天后我们将无法退款。
你 01:35
为什么您认为这不是错误或误报?
文森 01:36
对不起,亚历山大。 根据我们的高级官员报告,由于恶意软件/欺诈/网络钓鱼,该命令已被撤销。
你 01:37
不用道歉,我已经付了钱,我想看看我违反了你们的规定的证据。 这很简单。
我付了三年的钱,然后你就找了个理由,没有给我任何证明,也没有证明我有罪的证据。
文森 01:43
我理解你的担忧。 据报道,代码签名证书用于分发恶意软件。 根据行业指南:Sectigo 作为证书颁发机构需要吊销证书。
你 01:45
看来你不明白。 你在哪里看到法庭没有证据就宣判的? 你就是这么做的。 我从来没有遇到过恶意软件。 如果是的话为什么不提供证据呢? 证书吊销的具体证据是什么?
文森 01:46
对不起,亚历山大。 根据我们的高级官员报告,由于恶意软件/欺诈/网络钓鱼,该命令已被撤销。
你 01:47
我可以向谁找出吊销证书的真正原因?
如果您无法回答,请告诉我该联系谁?
文森 01:48
请使用以下链接再次提交票证,以便您尽早收到回复。
你 01:48
感谢。
这个结果并不是孤立的,在聊天的所有谈判时间里,他们充其量都回答了同样的事情,票要么根本没有得到答复,要么答案同样毫无用处。
我正在再次创建票证我的请求:
我需要证据证明我违反了导致撤销的规则。 我购买了证书,想知道为什么我的钱被拿走了。
“恶意软件/欺诈/网络钓鱼”不是答案! 您在哪个文件中看到病毒? 有virustotal的链接吗? 请提供证明或者退钱,我厌倦了写技术支持,已经等了一个多星期了。
感谢。
他们的回答是:
据报道,代码签名证书用于分发恶意软件。 根据行业指南:Sectigo 作为证书颁发机构需要吊销证书。
回答我的不是猴子的希望彻底破灭了。 一个有趣的图表出现了:
- 我们出售证书。
- 我们已经等待了六个多月,因此无法通过 PayPal 提出争议。
- 我们正在召回并等待下一个订单。 利润!
由于我没有其他方法影响他们,我只能将他们的欺诈行为公之于众。 当从Comodo(也称为Sectigo)购买证书时,您可能会遇到同样的情况。
9 月 XNUMX 日更新:
今天,我通知 CodeSignCert(我通过其购买证书的公司),由于他们停止回复,我已将这一情况通过本文的链接提出来供公众讨论。 一段时间后,他们终于发送了virustotal的屏幕截图,其中可以看到程序哈希 :
病毒总数 -
我对情况的评估:
我可以自信地说这是误报。 标志:
- 名称 大多数情况下为通用名称。
- 防病毒领导者没有检测到。
很难说到底是什么导致了防病毒软件的这种反应,但由于该文件非常过时(它是大约一年前创建的),我没有将 1.6.1 版本的源代码保存到二进制文件中重新创建该文件。 然而,我有最新的版本1.6.5,考虑到主分支的不变性,在那里做了最小的改变,但没有这样的误报:
病毒总数 -
CodeSignCert 已收到有关误报的通知;一旦获得进一步的谈判结果,本文将进行更新,直到情况完全解决。
来源: habr.com