¿Te imaginas que una gran empresa lidiará con el engaño de sus clientes, especialmente si esta empresa se posiciona como garante de la seguridad? Entonces no pude hasta hace poco. Este artículo es una advertencia que primero piensa diez veces antes de comprar un certificado para firmar un código de Comodo.
Debido al deber de mi trabajo (administración del sistema), hago varios programas útiles que utilizo activamente en mi propio trabajo, y al mismo tiempo publico gratuitamente para todos. Hace unos tres años, era necesario firmar programas, de lo contrario no todos mis clientes y usuarios podrían descargarlos sin problemas solo porque no estaban firmados. Durante mucho tiempo, la firma es una práctica normal y no importa cuán seguro sea el programa, pero si no está firmado, sin duda habrá una mayor atención:
- El navegador recopila estadísticas sobre la frecuencia con la que se descarga el archivo, y cuando no está firmado, en la etapa inicial, incluso puede bloquearse "por si acaso" y requerir que el usuario confirme explícitamente el guardado. Los algoritmos son diferentes, a veces el dominio se considera confiable, pero en general es una firma válida que es una confirmación de seguridad.
- Después de descargar el archivo, el antivirus se ve e inmediatamente antes de que se inicie el sistema operativo. Para los antivirus, la firma también es importante, es fácil de rastrear en virustotal, y en cuanto al sistema operativo, comenzando con Win10, el archivo con el certificado revocado se bloquea inmediatamente y no se puede iniciar desde el explorador. Además, en algunas organizaciones generalmente está prohibido ejecutar código sin firmar (configurado por el sistema), y esto está justificado: todos los desarrolladores normales siempre se han asegurado de que sus programas puedan verificarse sin esfuerzo adicional.
En general, la dirección elegida es la correcta: en la medida de lo posible, haga que Internet sea lo más seguro posible para usuarios inexpertos. Sin embargo, la implementación en sí está lejos de ser ideal. Un desarrollador simple no puede simplemente obtener un certificado; necesita comprarlo de compañías que han monopolizado este mercado y dictar sus condiciones. Pero, ¿y si los programas son gratuitos? Esto no molesta a nadie. Luego, el desarrollador tiene una opción: probar constantemente la seguridad de sus programas, sacrificando la comodidad de los usuarios o comprar un certificado. Hace tres años, StartCom era rentable, que ahora vive en el fondo del océano, nunca han sido un problema. Por el momento, Comodo ofrece el precio mínimo, pero resultó que hay una trampa: para ellos, el desarrollador es literalmente nadie y lanzarlo es una práctica normal.
Después de casi un año de usar el certificado, que compré a mediados de 2018, de repente, sin previo aviso por correo o teléfono, Comodo lo revocó sin explicación. El soporte técnico funciona mal para ellos; es posible que no respondan durante una semana, pero aun así lograron descubrir la razón principal: consideraron que el malware se firmó con el certificado emitido. Y sería posible terminar la historia si no fuera por una cosa: nunca he creado malware y mis propios métodos de protección hacen posible afirmar que es imposible robarme la clave privada. Solo Comodo tiene una copia de la clave, porque la emiten sin una CSR. Y luego, casi dos semanas de intentos fallidos de encontrar evidencia elemental. La compañía, que supuestamente garantiza la seguridad en el área de seguridad, se negó rotundamente a proporcionar evidencia de una violación de sus reglas.
Desde el último chat con soporte técnicoUsted 01:20
Ha escrito "Nos esforzamos por responder a los tickets de soporte estándar dentro del mismo día hábil". pero he estado esperando una respuesta por una semana.
Vinson 01:20
Hola, ¡Bienvenido a Validación SSL de Sectigo!
Permítame verificar el estado de su caso, espere un minuto.
Lo verifiqué y nuestro oficial superior revocó el pedido debido a malware / fraude / phishing.
Usted 01:28
Estoy seguro de que este es su error, por lo que le pido una prueba.
Nunca he tenido malware / fraude / phishing.
Vinson 01:30
Lo siento, Alexander. He revisado dos veces y nuestro oficial superior ha revocado el pedido debido a malware / fraude / phishing.
Usted 01:31
¿En qué archivo viste el virus? ¿Hay un enlace a virustotal? No acepto tu respuesta porque no hay pruebas en ella. Pagué dinero por este certificado y tengo derecho a saber por qué me quitan mi dinero por la fuerza.
Si no puede proporcionar pruebas, el certificado fue revocado injustamente y debe devolver el dinero. De lo contrario, ¿cuál es el significado de su trabajo si revoca certificados sin prueba?
Vinson 01:34
Entiendo tu preocupación. Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo como Autoridad de certificación debe revocar el certificado.
Además, según la política de reembolso, no podremos reembolsar después de 30 días a partir de la fecha de emisión.
Usted 01:35
¿Por qué crees que esto no es un error o un falso positivo?
Vinson 01:36
Lo siento, Alexander. Según nuestro informe de altos funcionarios, la orden ha sido revocada debido a malware / fraude / phishing.
Usted 01:37
No es necesario disculparse, pagué el dinero y quiero ver pruebas de que violé tus reglas. Es simple
Pagué durante tres años, luego se te ocurrió una razón y me dejaste sin un certificado y sin prueba de mi culpa.
Vinson 01:43
Entiendo tu preocupación. Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo como Autoridad de certificación debe revocar el certificado.
Usted 01:45
Parece que no lo entiendes. ¿Dónde vio a la corte que pasa la sentencia sin prueba? Hiciste justamente eso. Nunca he tenido malware. ¿Por qué no proporciona pruebas si es así? ¿Qué prueba específica es una revocación de certificado?
Vinson 01:46
Lo siento, Alexander. Según nuestro informe de altos funcionarios, la orden ha sido revocada debido a malware / fraude / phishing.
Usted 01:47
¿A quién puedo averiguar la verdadera razón para revocar el certificado?
Si no puede responder, dígame con quién contactar?
Vinson 01:48
Vuelva a enviar un ticket utilizando el siguiente enlace para que reciba una respuesta lo antes posible.
sectigo.com/support-ticketUsted 01:48
Gracias
Tal resultado no es único, todo el tiempo de negociaciones en un chat responden lo mismo en el mejor de los casos, o no responden boletos en absoluto, o las respuestas son igual de inútiles.
Estoy creando un boleto nuevamenteMi solicitud:
Exijo prueba de que violé una regla que condujo a la revocación. Compré un certificado y quiero saber por qué me quitan mi dinero.
¡"Malware / fraude / phishing" no es la respuesta! ¿En qué archivo viste el virus? ¿Hay un enlace a virustotal? Proporcione un comprobante o devuelva el dinero. Estoy cansado de escribir soporte técnico y he estado esperando durante más de una semana.
Gracias
Su respuesta:
Se ha informado que el certificado de firma de código distribuye malware. Según las pautas de la industria: Sectigo como Autoridad de certificación debe revocar el certificado.
La esperanza de que ningún mono me responda desaparece por completo. Está surgiendo un esquema interesante:
- Vendemos un certificado.
- Estamos esperando más de seis meses para que a través de PayPal sea imposible abrir una disputa.
- Recordamos y esperamos el próximo pedido. Beneficio!
Como no tengo otros métodos de influencia sobre ellos, solo puedo publicitar su fraude. Al comprar un certificado de Comodo, también son Sectigo, puede encontrar la misma situación.
Actualización n. ° 1 del 9 de junio:Hoy notifiqué a CodeSignCert (la empresa a través de la cual compré el certificado) que, debido a que dejaron de responder, puse la situación para comentario público con referencia a este artículo. Después de un tiempo, finalmente enviaron una captura de pantalla de virustotal, donde se veía el hash del programa
EzvitUpd :
VirusTotal -
d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425Mi evaluación de la situación:
Puedo decir con confianza que esto es un falso positivo. Signos:
- Designación genérica en la mayoría de las operaciones.
- La ausencia de aspectos positivos para los líderes antivirus.
Es difícil decir qué causó exactamente esta reacción de los antivirus, pero como el archivo está muy desactualizado (fue creado hace casi un año), no guardé la versión de origen 1.6.1 para recrear el archivo binario. Sin embargo, tengo la última versión 1.6.5, y dada la inmutabilidad de la rama principal, los cambios fueron mínimos, pero no hay ningún falso positivo en ella:
VirusTotal -
c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310ebCodeSignCert es notificado de un falso positivo, después de la aparición de más resultados de negociación, el artículo se actualizará hasta que la situación se resuelva por completo.
Actualización n. ° 2 del 11 de junio:CodeSignCert ha establecido una condición casi imposible: quieren que VirusTotal esté 100% limpio de cualquier aspecto positivo. Esto es técnicamente casi imposible, porque no todos los antivirus responden a los comentarios, para algunos, incluso el correo no funciona.
En los comentarios,
gogetssl se comprometió a ayudar y
prometió "Firma de Código de Symantec por un período de 3 años", y luego en mensajes personales se negó a cumplir la promesa. Nadie usó los
canales ni se disculpó.
En el momento en que
se proporcionó el enlace,
había 17 falsos positivos; en el momento de la última exploración, 15 antivirus
repararon su error.
23 de junio Actualización # 3:Casi un mes después del inicio del procedimiento, CodeSignCert acordó un reembolso. La correspondencia se llevó a cabo de manera extremadamente lenta, ya que no consideraban importantes las necesidades de los clientes y no respondieron durante mucho tiempo, esperando las instrucciones de Comodo. El propio Comodo no hizo nada para remediar la situación, no compensó los costos y no se disculpó.
Los revendedores a menudo dicen que las reglas del foro CA / B son las mismas para todas las autoridades de certificación y están obligados a revocar cualquier certificado para el que haya resultados positivos. Esta es una mentira descarada, ya que puedo encontrar tantos archivos que están milagrosamente excluidos de las reglas, por ejemplo:
Comodo -
5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7faSymantec -
1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7DigiCert -
6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46eLos comentarios son innecesarios, se pueden sacar conclusiones de forma independiente.