كومودو يلغي الشهادات دون سبب

هل يمكنك أن تتخيل أن شركة كبيرة ستتعامل مع خداع عملائها ، خاصة إذا كانت هذه الشركة تضع نفسها ضامنة للأمن؟ لذلك لم أستطع حتى وقت قريب. هذا المقال عبارة عن تحذير بأنك تفكر أولاً عشر مرات قبل شراء شهادة لتوقيع رمز من Comodo.

نظرًا لواجب عملي (إدارة النظام) ، أقوم بعمل العديد من البرامج المفيدة التي أستخدمها بنشاط في عملي ، وفي نفس الوقت أقوم بنشرها مجانًا للجميع. منذ حوالي ثلاث سنوات ، كانت هناك حاجة لتوقيع البرامج ، وإلا فلن يتمكن جميع العملاء والمستخدمين من تنزيلها دون مشاكل لمجرد أنها لم توقع. يعد التوقيع ممارسة عادية منذ فترة طويلة ولا يهم مدى أمان البرنامج ، ولكن إذا لم يتم التوقيع عليه ، فستزيد بالتأكيد من الاهتمام:

1. يجمع المستعرض إحصائيات حول عدد مرات تنزيل الملف ، وعندما لا يتم توقيعه ، في المرحلة الأولية ، يمكن حتى حظره "في حالة" ويطلب من المستخدم تأكيد الحفظ صراحة. الخوارزميات مختلفة ، وأحيانًا يُعتبر المجال موثوقًا ، لكن بشكل عام يعد توقيعًا صالحًا بمثابة تأكيد للأمان.
2. بعد تنزيل الملف ، يظهر برنامج مكافحة الفيروسات وقبل بدء نظام التشغيل مباشرة. بالنسبة لمضادات الفيروسات ، يكون التوقيع مهمًا أيضًا ، فمن السهل تتبعه على الفيروس ، وكما هو الحال بالنسبة لنظام التشغيل ، يتم حظر الملف الذي يحمل شهادة تم إبطاله على الفور ، ولا يمكن تشغيله من المستكشف. بالإضافة إلى ذلك ، يُحظر عمومًا في بعض المؤسسات تشغيل تعليمات برمجية غير موقعة (تم تكوينها بواسطة النظام) ، وهذا له ما يبرره - فقد تأكد جميع المطورين العاديين لفترة طويلة من إمكانية التحقق من برامجهم دون بذل جهد إضافي.

بشكل عام ، فإن الاتجاه الذي تم اختياره هو الاتجاه الصحيح - إلى أقصى حد ممكن ، جعل الإنترنت آمنًا قدر الإمكان للمستخدمين عديمي الخبرة. ومع ذلك ، فإن التنفيذ نفسه بعيد عن المثالية. لا يمكن للمطور البسيط الحصول على شهادة فقط ؛ إنه بحاجة إلى شرائها من الشركات التي احتكرت هذا السوق وتملي شروطها عليها. ولكن ماذا لو كانت البرامج مجانية؟ هذا لا يزعج أحدا. ثم لدى المطور خيار - لإثبات أمان برامجه باستمرار ، والتضحية براحة المستخدمين ، أو شراء شهادة. قبل ثلاث سنوات ، كانت StartCom مربحة ، والتي تعيش الآن في قاع المحيط ، لم تكن مشكلة أبدًا. في الوقت الحالي ، يوفر Comodo الحد الأدنى للسعر ، ولكن كما اتضح لاحقًا ، فهناك أمر جذاب - بالنسبة لهم ، المطور ليس حرفًا أحدًا ورميها ممارسة عادية.

بعد ما يقرب من عام من استخدام الشهادة ، التي اشتريتها في منتصف عام 2018 ، فجأة ، دون إشعار مسبق عن طريق البريد أو الهاتف ، ألغى Comodo دون تفسير. الدعم الفني يعمل بشكل سيء بالنسبة لهم - قد لا يستجيبون لمدة أسبوع ، لكنهم ما زالوا قادرين على معرفة السبب الرئيسي - اعتبروا أن البرامج الضارة تم توقيعها مع الشهادة الصادرة. وسيكون من الممكن إنهاء القصة إذا لم يكن ذلك لشيء واحد - لم أقم مطلقًا بإنشاء برامج ضارة ، وأساليب الحماية الخاصة بي تجعل من الممكن الادعاء بأنه من المستحيل سرقة المفتاح الخاص مني. كومودو فقط لديها نسخة من المفتاح ، لأنها تصدرها دون المسؤولية الاجتماعية للشركات. وبعد ذلك - ما يقرب من أسبوعين من المحاولات الفاشلة لاكتشاف الأدلة الأولية. الشركة ، التي من المفترض أنها تضمن الأمن في مجال الأمن ، رفضت رفضًا قاطعًا تقديم دليل على انتهاك قواعدها.


هذه النتيجة ليست فريدة من نوعها ، في كل وقت من المفاوضات في دردشة أنها تجيب على نفس الشيء في أحسن الأحوال ، إما أنها لا تجيب على التذاكر على الإطلاق ، أو الإجابات هي عديمة الفائدة تماما.


الأمل في أن لا يجيبني قرد يختفي تمامًا. يظهر مخطط مثير للاهتمام:

1. نبيع الشهادة.
2. نحن ننتظر أكثر من ستة أشهر حتى يتسنى لك فتح نزاع عبر PayPal.
3. نتذكر وانتظر الترتيب التالي. الربح!

بما أنني لا أملك طرقًا أخرى للتأثير عليهم ، فلا يمكنني الإعلان عن عمليات الاحتيال الخاصة بهم. شراء شهادة من Comodo ، فهي أيضا Sectigo ، قد تواجه نفس الموقف.

التحديث رقم 1 من 9 يونيو:

أخطرت اليوم CodeSignCert (الشركة التي اشتريت الشهادة من خلالها) أنه نظرًا لتوقفهم عن الاستجابة ، فقد وضعت الموقف للتعليق العام مع الإشارة إلى هذه المقالة. بعد فترة من الوقت ، أرسلوا أخيرًا لقطة من virustotal ، حيث كان تجزئة برنامج EzvitUpd مرئية:
VirusTotal - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

تقييمي للوضع:
أستطيع أن أقول بكل ثقة أن هذا إيجابي كاذب. الأعراض:

1. تسمية عامة في معظم العمليات.
2. غياب الإيجابيات لقادة مكافحة الفيروسات.

من الصعب تحديد سبب هذا بالضبط رد فعل مكافحة الفيروسات ، ولكن بما أن الملف قديم جدًا (تم إنشاؤه منذ عام تقريبًا) ، لم أحفظ الإصدار المصدر 1.6.1 لإعادة إنشاء الملف الثنائي. ومع ذلك ، لدي الإصدار الأحدث 1.6.5 ، ونظراً إلى ثبات الفرع الرئيسي ، كانت التغييرات هناك ضئيلة ، لكن لا توجد مثل هذه النتائج الإيجابية الخاطئة على ذلك:
VirusTotal - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

يتم إخطار CodeSignCert بالإيجاب الخاطئ ، بعد ظهور المزيد من نتائج التفاوض ، سيتم تحديث المقالة حتى يتم حل الموقف بالكامل.

التحديث رقم 2 من 11 يونيو:

وضعت CodeSignCert حالة شبه مستحيلة - فهي تريد أن تكون VirusTotal نظيفة بنسبة 100 ٪ من أي إيجابيات. هذا مستحيل تقنياً تقريبًا ، لأن جميع برامج مكافحة الفيروسات لا تستجيب للتعليقات ، بالنسبة للبعض ، حتى البريد لا يعمل.

في التعليقات ، تعهد gogetssl بالمساعدة ووعد "توقيع كود سيمانتيك لمدة 3 سنوات" ، ثم رفض في الرسائل الشخصية الوفاء بالوعد. لا أحد يستخدم القنوات أو اعتذر.

في الوقت الذي تم فيه توفير الرابط ، كان هناك 17 إيجابيا كاذبة ؛ في وقت الفحص الأخير ، قام 15 من برامج مكافحة الفيروسات بإصلاح خطأهم.

تحديث 23 يونيو رقم 3:

بعد مرور شهر تقريبًا على بدء الإجراءات ، وافقت CodeSignCert على استرداد الأموال. تمت المراسلات ببطء شديد ، نظرًا لأنهم لم يعتبروا احتياجات العملاء مهمة ولم يستجبوا لفترة طويلة جدًا ، في انتظار تلقي تعليمات من Comodo. لم يفعل كومودو نفسه شيئًا لعلاج الوضع ، ولم يعوض عن التكاليف ولم يعتذر.

غالبًا ما يقول البائعون إن قواعد منتدى CA / B هي نفسها لجميع المراجع المصدقة ويلزم إبطال أي شهادات توجد بها إيجابيات. هذه كذبة صارخة ، حيث يمكنني العثور على العديد من الملفات المستثناة بأعجوبة من القواعد ، على سبيل المثال:
كومودو - 5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa
Symantec - 1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7
DigiCert - 6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46e

التعليقات ليست ضرورية ، ويمكن استخلاص النتائج بشكل مستقل.