你能想像一家大公司會欺騙它的客戶嗎,尤其是當這家公司將自己定位為安全保證者時? 所以直到最近我才可以。 本文警告您在從 Comodo 購買代碼簽名證書之前要三思。
作為我工作(系統管理)的一部分,我製作了各種有用的程序,並在自己的工作中積極使用它們,同時我將它們免費發布給大家。 大約三年前,需要對程式進行簽名,否則並非我所有的客戶和用戶都可以因為未簽名而毫無問題地下載它們。 簽名早已成為一種常態,無論程序多麼安全,但如果不簽名,肯定會引起更多關注:
- 瀏覽器會收集文件下載頻率的統計數據,當文件未簽署時,在初始階段甚至可能會被阻止“以防萬一”,並需要用戶明確確認才能保存。 演算法不同,有時域被認為是可信的,但一般來說它是確認安全性的有效簽章。
- 下載後,防毒軟體會在作業系統啟動前立即查看該檔案。 對於防毒軟體來說,簽章也很重要,這在virustotal上可以很容易地看到,而對於作業系統,從Win10開始,憑證被撤銷的檔案會立即被阻止,並且無法從資源管理器啟動。 此外,在某些組織中,通常禁止運行未簽署的程式碼(使用系統工具配置),這是有道理的——所有普通開發人員長期以來都確保他們的程式可以在不需要額外努力的情況下進行檢查。
總的來說,已經選擇了正確的方向 - 盡可能地使互聯網對於沒有經驗的用戶來說盡可能安全。 然而,實施本身還遠遠未達到理想狀態。 一個簡單的開發者不能簡單地獲得證書;它必須從壟斷這個市場的公司購買,並製定他們的條款。 但如果這些程式是免費的呢? 沒人在乎。 那麼開發者就有一個選擇──不斷證明他的程式的安全性,犧牲使用者的便利性,或是購買證書。 三年前,現在住在海底的StartCom是獲利的;他們從來沒有出現過任何問題。 目前,Comodo 提供了最低價格,但事實證明,有一個問題 - 對他們來說,開發商實際上是一個無名小卒,欺騙他是正常做法。
我在 2018 年年中購買的證書使用了近一年後,Comodo 在沒有事先透過郵件或電話通知的情況下突然撤銷了該證書,且沒有任何解釋。 他們的技術支援效果不佳——他們可能一周都沒有回复,但他們仍然設法找出主要原因——他們認為頒發的證書是由惡意軟體簽署的。 如果不是因為一件事,故事可能就到此為止了——我從未創建過惡意軟體,而且我自己的保護方法讓我可以說不可能竊取我的私鑰。 只有 Comodo 擁有金鑰副本,因為他們在沒有 CSR 的情況下頒發金鑰。 然後——近兩週的嘗試找出基本證明,但沒有成功。 該公司本應保證安全保護,卻斷然拒絕提供違反其規定的證據。
從上次與技術支援的聊天來看你 01:20
您寫道“我們努力在同一工作日內回覆標準支援請求。” 但我已經等一周了。
文森 01:20
您好,歡迎來到 Sectigo SSL 驗證!
讓我檢查一下您的案件狀態,請稍等。
我已經檢查過,由於我們的高級官員存在惡意軟體/詐欺/網路釣魚,該命令已被撤銷。
你 01:28
我確信這是你的錯誤,所以我要求證據。
我從未遇到過惡意軟體/詐欺/網路釣魚。
文森 01:30
對不起,亞歷山大。 我已經仔細檢查過,由於我們的高級官員存在惡意軟體/詐欺/網路釣魚,該訂單已被撤銷。
你 01:31
您在哪個文件中看到病毒? 有virustotal的連結嗎? 我不接受你的回答,因為它沒有證據。 我花錢買了這個證書,我有權利知道為什麼我的錢被強行拿走。
如果您不能提供證明,那麼該證書被不公平地撤銷,必須退還款項。 否則,沒有證據就吊銷證書,你的工作還有什麼意義呢?
文森 01:34
我理解你的擔憂。據報道,程式碼簽署憑證用於分發惡意軟體。根據行業指南:Sectigo 作為證書頒發機構需要吊銷證書。
另外,根據退款政策,自發出之日起 30 天後我們將無法退款。
你 01:35
為什麼您認為這不是錯誤或誤報?
文森 01:36
對不起,亞歷山大。 根據我們的高級官員報告,由於惡意軟體/詐欺/網路釣魚,該命令已被撤銷。
你 01:37
不用道歉,我已經付了錢,我想看看我違反了你們的規定的證據。 這很簡單。
我付了三年的錢,然後你就找了個理由,沒有給我任何證明,也沒有證明我有罪的證據。
文森 01:43
我理解你的擔憂。據報道,程式碼簽署憑證用於分發惡意軟體。根據行業指南:Sectigo 作為證書頒發機構需要吊銷證書。
你 01:45
看來你不明白。 你在哪裡看到法庭沒有證據就宣判的? 你就是這麼做的。 我從來沒有遇過惡意軟體。 如果是的話為什麼不提供證據呢? 證書吊銷的具體證據是什麼?
文森 01:46
對不起,亞歷山大。 根據我們的高級官員報告,由於惡意軟體/詐欺/網路釣魚,該命令已被撤銷。
你 01:47
我可以向誰找出吊銷憑證的真正原因?
如果您無法回答,請告訴我該聯絡誰?
文森 01:48
請使用以下連結再次提交票證,以便您儘早收到回覆。
你 01:48
謝謝。
這個結果並不是孤立的,在聊天的所有談判時間裡,他們充其量都回答了同樣的事情,票要么根本沒有得到答复,要么答案同樣毫無用處。
我正在再次創建票證我的請求:
我需要證據證明我違反了導致撤銷的規則。 我買了證書,想知道為什麼我的錢被拿走了。
「惡意軟體/詐騙/網路釣魚」不是答案! 您在哪個文件中看到病毒? 有virustotal的連結嗎? 請提供證明或退錢,我厭倦了寫技術支持,已經等了一個多星期了。
謝謝。
他們的回答是:
據報道,程式碼簽署憑證用於分發惡意軟體。根據行業指南:Sectigo 作為證書頒發機構需要吊銷證書。
回答我的不是猴子的希望徹底破滅了。 一個有趣的圖表出現了:
- 我們出售證書。
- 我們已經等待了六個多月,因此無法透過 PayPal 提出爭議。
- 我們正在召回並等待下一個訂單。 利潤!
由於我沒有其他方法影響他們,我只能將他們的詐欺行為公諸於世。 當從Comodo(也稱為Sectigo)購買證書時,您可能會遇到相同的情況。
9 月 XNUMX 日更新:
今天,我通知 CodeSignCert(我透過其購買證書的公司),由於他們停止回复,我已將這一情況透過本文的連結提出來供公眾討論。 一段時間後,他們終於發送了virustotal的螢幕截圖,其中可以看到程式哈希 :
病毒總數 -
我對情況的評估:
我可以自信地說這是誤報。標誌:
- 名稱 大多數情況下為通用名稱。
- 防毒領導者沒有檢測到。
很難說到底是什麼導致了防毒軟體的這種反應,但由於該檔案非常過時(它是大約一年前創建的),我沒有將1.6.1 版本的源代碼保存到二進位中重新創建該文件。 然而,我有最新的版本1.6.5,考慮到主分支的不變性,在那裡做了最小的改變,但沒有這樣的誤報:
病毒總數 -
CodeSignCert 已收到有關誤報的通知;一旦獲得進一步的談判結果,本文將進行更新,直到情況完全解決。
來源: www.habr.com