Können Sie sich vorstellen, dass ein großes Unternehmen mit der Täuschung seiner Kunden fertig wird, insbesondere wenn sich dieses Unternehmen als Garant für Sicherheit positioniert? Also konnte ich bis vor kurzem nicht. Dieser Artikel ist eine Warnung, an die Sie zuerst zehn Mal denken, bevor Sie ein Zertifikat zum Signieren eines Codes von Comodo kaufen.
Aufgrund der Pflicht meiner Arbeit (Systemadministration) mache ich verschiedene nützliche Programme, die ich aktiv in meiner eigenen Arbeit verwende, und poste gleichzeitig kostenlos für alle. Vor ungefähr drei Jahren mussten Programme signiert werden, da sonst nicht alle meine Kunden und Benutzer sie problemlos herunterladen konnten, nur weil sie nicht signiert waren. Signatur ist seit langem eine normale Praxis und es spielt keine Rolle, wie sicher das Programm ist, aber wenn es nicht signiert ist, wird es sicherlich mehr Aufmerksamkeit erhalten:
- Der Browser sammelt Statistiken darüber, wie oft die Datei heruntergeladen wird. Wenn sie nicht signiert ist, kann sie in der Anfangsphase sogar "nur für den Fall" blockiert werden und der Benutzer muss das Speichern explizit bestätigen. Die Algorithmen sind unterschiedlich, manchmal wird die Domäne als vertrauenswürdig angesehen, aber im Allgemeinen ist es eine gültige Signatur, die eine Bestätigung der Sicherheit darstellt.
- Nach dem Herunterladen der Datei sieht das Antivirenprogramm unmittelbar vor dem Start des Betriebssystems aus. Für Virenschutzprogramme ist die Signatur ebenfalls wichtig, es ist einfach, Virustotal zu verfolgen, und für das Betriebssystem wird ab Win10 die Datei mit dem widerrufenen Zertifikat sofort blockiert und kann nicht über den Explorer gestartet werden. Darüber hinaus ist es in einigen Organisationen generell verboten, nicht signierten Code (vom System konfiguriert) auszuführen, und dies ist gerechtfertigt. Alle normalen Entwickler haben lange darauf geachtet, dass ihre Programme ohne zusätzlichen Aufwand überprüft werden können.
Im Allgemeinen ist die gewählte Richtung die richtige - machen Sie das Internet für unerfahrene Benutzer so sicher wie möglich. Die Implementierung selbst ist jedoch alles andere als ideal. Ein einfacher Entwickler kann nicht einfach ein Zertifikat erhalten, sondern muss es von Unternehmen kaufen, die diesen Markt monopolisiert haben, und seine Bedingungen dafür bestimmen. Aber was ist, wenn die Programme kostenlos sind? Das stört niemanden. Dann hat der Entwickler die Wahl, die Sicherheit seiner Programme ständig zu beweisen, die Benutzerfreundlichkeit zu opfern oder ein Zertifikat zu kaufen. Vor drei Jahren war StartCom profitabel, das jetzt auf dem Grund des Ozeans lebt. Sie waren nie ein Problem. Im Moment bietet Comodo den Mindestpreis, aber wie sich herausstellte, gibt es einen Haken - für sie ist der Entwickler buchstäblich niemand und das Werfen ist normale Praxis.
Nach fast einem Jahr der Nutzung des Zertifikats, das ich Mitte 2018 gekauft hatte, widerrief Comodo es plötzlich ohne vorherige Ankündigung per Post oder Telefon ohne Erklärung. Der technische Support funktioniert für sie schlecht - sie antworten möglicherweise eine Woche lang nicht, konnten jedoch den Hauptgrund herausfinden - sie waren der Ansicht, dass die Malware mit dem ausgestellten Zertifikat signiert wurde. Und es wäre möglich, die Geschichte zu beenden, wenn es nicht eine Sache gäbe - ich habe nie Malware erstellt, und meine eigenen Schutzmethoden ermöglichen es zu behaupten, dass es unmöglich ist, mir den privaten Schlüssel zu stehlen. Nur Comodo hat eine Kopie des Schlüssels, da diese ohne CSR ausgestellt werden. Und dann - fast zwei Wochen erfolgloser Versuche, elementare Beweise herauszufinden. Das Unternehmen, das angeblich die Sicherheit im Sicherheitsbereich garantiert, lehnte es rundweg ab, einen Verstoß gegen seine Regeln nachzuweisen.
Vom letzten Chat mit dem technischen SupportSie 01:20
Sie haben geschrieben: "Wir bemühen uns, innerhalb desselben Werktages auf Standard-Support-Tickets zu antworten." aber ich habe jetzt seit einer Woche auf eine Antwort gewartet.
Vinson 01:20
Hallo, Willkommen bei der Sectigo SSL-Validierung!
Lassen Sie mich Ihren Fallstatus überprüfen, bitte warten Sie eine Minute.
Ich habe dies überprüft und die Bestellung wurde aufgrund von Malware / Betrug / Phishing durch unseren höheren Beamten widerrufen.
Sie 01:28
Ich bin mir sicher, dass dies Ihr Fehler ist, deshalb bitte ich um Beweise.
Ich hatte noch nie Malware / Betrug / Phishing.
Vinson 01:30
Es tut mir leid, Alexander. Ich habe es noch einmal überprüft und die Bestellung wurde aufgrund von Malware / Betrug / Phishing von unserem höheren Beamten widerrufen.
Sie 01:31
In welcher Datei haben Sie den Virus gesehen? Gibt es einen Link zu virustotal? Ich akzeptiere Ihre Antwort nicht, weil sie keinen Beweis enthält. Ich habe Geld für dieses Zertifikat bezahlt und ich habe das Recht zu wissen, warum mir mein Geld gewaltsam weggenommen wird.
Wenn Sie keinen Nachweis erbringen können, wurde das Zertifikat zu Unrecht widerrufen und muss das Geld zurückgeben. Was bedeutet Ihre Arbeit sonst, wenn Sie Zertifikate ohne Nachweis widerrufen?
Vinson 01:34
Ich verstehe Ihre Besorgnis. Das Codesignaturzertifikat wurde für die Verteilung von Malware gemeldet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle muss das Zertifikat widerrufen.
Gemäß den Rückerstattungsrichtlinien können wir nach 30 Tagen ab Ausstellungsdatum keine Rückerstattung mehr vornehmen.
Sie 01:35
Warum ist das Ihrer Meinung nach kein Fehler oder falsches Positiv?
Vinson 01:36
Es tut mir leid, Alexander. Laut unserem Bericht höherer Beamter wurde die Bestellung aufgrund von Malware / Betrug / Phishing widerrufen.
Sie 01:37
Ich muss mich nicht entschuldigen, ich habe das Geld bezahlt und möchte den Beweis sehen, dass ich gegen Ihre Regeln verstoßen habe. Es ist einfach.
Ich habe drei Jahre lang bezahlt, dann haben Sie einen Grund gefunden und mich ohne Zertifikat und ohne Beweis meiner Schuld zurückgelassen.
Vinson 01:43
Ich verstehe Ihre Besorgnis. Das Codesignaturzertifikat wurde für die Verteilung von Malware gemeldet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle muss das Zertifikat widerrufen.
Sie 01:45
Es scheint, dass Sie nicht verstehen. Wo haben Sie das Gericht gesehen, das das Urteil ohne Beweise gefällt? Du hast genau das getan. Ich hatte noch nie Malware. Warum liefern Sie keinen Beweis, wenn es ist? Welcher spezifische Beweis ist ein Zertifikatentzug?
Vinson 01:46
Es tut mir leid, Alexander. Laut unserem Bericht höherer Beamter wurde die Bestellung aufgrund von Malware / Betrug / Phishing widerrufen.
Sie 01:47
Wem kann ich den wahren Grund für den Widerruf des Zertifikats herausfinden?
Wenn Sie nicht antworten können, sagen Sie mir, wen ich kontaktieren soll?
Vinson 01:48
Bitte senden Sie ein Ticket erneut über den unten stehenden Link, damit Sie so früh wie möglich eine Antwort erhalten.
sectigo.com/support-ticketSie 01:48
Danke.
Ein solches Ergebnis ist nicht eindeutig. Während der Verhandlungen in einem Chat beantworten sie bestenfalls dasselbe, entweder beantworten sie überhaupt keine Tickets oder die Antworten sind genauso nutzlos.
Ich erstelle wieder ein TicketMeine Anfrage:
Ich benötige den Nachweis, dass ich gegen eine Regel verstoßen habe, die zum Widerruf geführt hat. Ich habe ein Zertifikat gekauft und möchte wissen, warum mir mein Geld weggenommen wird.
"Malware / Betrug / Phishing" ist nicht die Antwort! In welcher Datei haben Sie den Virus gesehen? Gibt es einen Link zu virustotal? Bitte legen Sie einen Nachweis vor oder geben Sie das Geld zurück. Ich habe es satt, technischen Support zu schreiben, und habe mehr als eine Woche gewartet.
Danke.
Ihre Antwort:
Das Codesignaturzertifikat wurde für die Verteilung von Malware gemeldet. Gemäß Branchenrichtlinien: Sectigo als Zertifizierungsstelle muss das Zertifikat widerrufen.
Die Hoffnung, dass mir kein Affe antworten wird, verschwindet vollständig. Ein interessantes Schema entsteht:
- Wir verkaufen ein Zertifikat.
- Wir warten mehr als sechs Monate, damit es über PayPal unmöglich ist, einen Streit zu eröffnen.
- Wir erinnern uns und warten auf die nächste Bestellung. Gewinn!
Da ich keine anderen Einflussmethoden auf sie habe, kann ich nur ihren Betrug veröffentlichen. Wenn Sie ein Zertifikat von Comodo kaufen, handelt es sich auch um Sectigo. Möglicherweise tritt die gleiche Situation auf.
Update Nr. 1 vom 9. Juni:Heute habe ich CodeSignCert (das Unternehmen, über das ich das Zertifikat gekauft habe) darüber informiert, dass ich die Situation mit Bezug auf diesen Artikel öffentlich kommentiert habe, weil sie nicht mehr reagiert haben. Nach einer Weile schickten sie endlich einen Screenshot von virustotal, in dem der Hash des
EzvitUpd- Programms sichtbar war:
VirusTotal -
d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425Meine Einschätzung der Situation:
Ich kann mit Zuversicht sagen, dass dies ein falsches Positiv ist. Zeichen:
- Allgemeine Bezeichnung in den meisten Operationen.
- Das Fehlen von Positiven für Antiviren-Führer.
Es ist schwer zu sagen, was genau diese Reaktion von Antivirenprogrammen verursacht hat. Da die Datei jedoch sehr veraltet ist (sie wurde vor fast einem Jahr erstellt), wurde die Quellversion 1.6.1 nicht gespeichert, um die Datei binär neu zu erstellen. Ich habe jedoch die neueste Version 1.6.5 und angesichts der Unveränderlichkeit des Hauptzweigs waren die Änderungen dort minimal, aber es gibt kein solches falsches Positiv:
VirusTotal -
c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310ebCodeSignCert wird über ein falsches Positiv informiert. Nach dem Erscheinen weiterer Verhandlungsergebnisse wird der Artikel aktualisiert, bis die Situation vollständig gelöst ist.
Update Nr. 2 vom 11. Juni:CodeSignCert hat eine fast unmögliche Bedingung festgelegt - VirusTotal soll zu 100% frei von positiven Ergebnissen sein. Dies ist technisch fast unmöglich, da nicht alle Virenschutzprogramme auf Rückmeldungen reagieren. Bei einigen funktioniert sogar die E-Mail nicht.
In den Kommentaren verpflichtete sich
gogetssl zu helfen und
versprach "Symantec Code Signing für einen Zeitraum von 3 Jahren" und weigerte sich dann in persönlichen Nachrichten, das Versprechen zu erfüllen. Niemand nutzte die
Kanäle oder entschuldigte sich.
Zum Zeitpunkt der Bereitstellung des Links
gab es 17 falsch positive Ergebnisse. Zum Zeitpunkt des letzten Scans haben 15 Antivirenprogramme ihren Fehler
behoben .
23. Juni Update Nr. 3:Fast einen Monat nach Beginn des Verfahrens stimmte CodeSignCert einer Rückerstattung zu. Die Korrespondenz verlief äußerst langsam, da sie die Bedürfnisse der Kunden nicht für wichtig hielten und lange nicht reagierten und auf Anweisungen von Comodo warteten. Comodo selbst hat nichts unternommen, um Abhilfe zu schaffen, die Kosten nicht kompensiert und sich nicht entschuldigt.
Wiederverkäufer geben häufig an, dass die Regeln des CA / B-Forums für alle Zertifizierungsstellen gleich sind und dass sie alle Zertifikate widerrufen müssen, für die positive Ergebnisse vorliegen. Dies ist eine offensichtliche Lüge, da ich so viele Dateien finden kann, die auf wundersame Weise von den Regeln ausgeschlossen sind, zum Beispiel:
Comodo -
5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7faSymantec -
1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7DigiCert -
6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46eKommentare sind nicht erforderlich, Schlussfolgerungen können unabhängig voneinander gezogen werden.