Geekly articles weekly

Comodo révoque les certificats sans raison

Pouvez-vous imaginer qu'une grande entreprise va faire face à la tromperie de ses clients, surtout si cette entreprise se positionne comme garante de la sécurité? Je n'ai donc pu le faire que récemment. Cet article est un avertissement auquel vous devez d'abord réfléchir dix fois avant d'acheter un certificat pour signer un code de Comodo.

En raison du devoir de mon travail (administration système), je crée divers programmes utiles que j'utilise activement dans mon propre travail, et en même temps je publie gratuitement pour tout le monde. Il y a environ trois ans, il fallait signer des programmes, sinon tous mes clients et utilisateurs ne pouvaient pas les télécharger sans problème simplement parce qu'ils n'étaient pas signés. Pendant longtemps, la signature est une pratique normale et peu importe la sécurité du programme, mais s'il n'est pas signé, il y aura certainement une attention accrue:

  1. Le navigateur collecte des statistiques sur la fréquence de téléchargement du fichier et lorsqu'il n'est pas signé, il peut même être bloqué «au cas où» au stade initial et demander à l'utilisateur de confirmer explicitement la sauvegarde. Les algorithmes sont différents, parfois le domaine est considéré comme fiable, mais en général c'est une signature valide qui est une confirmation de sécurité.
  2. Après avoir téléchargé le fichier, l'antivirus apparaît et immédiatement avant le démarrage du système d'exploitation. Pour les antivirus, la signature est également importante, elle est facile à suivre sur virustotal, et comme pour l'OS, à partir de Win10 le fichier avec le certificat révoqué est immédiatement bloqué et ne peut pas être lancé depuis l'explorateur. De plus, dans certaines organisations, il est généralement interdit d'exécuter du code non signé (configuré par le système), et cela est justifié - tous les développeurs normaux veillent depuis longtemps à ce que leurs programmes puissent être vérifiés sans effort supplémentaire.

En général, la direction choisie est la bonne - dans la mesure du possible, rendre Internet aussi sûr que possible pour les utilisateurs inexpérimentés. Cependant, la mise en œuvre elle-même est loin d'être idéale. Un simple développeur ne peut pas simplement obtenir un certificat, il doit l'acheter à des entreprises qui ont monopolisé ce marché et en dicter les conditions. Mais que faire si les programmes sont gratuits? Cela ne dérange personne. Ensuite, le développeur a le choix: prouver constamment la sécurité de ses programmes, sacrifier la commodité des utilisateurs ou acheter un certificat. Il y a trois ans, StartCom était rentable, qui vit maintenant au fond de l'océan, ils n'ont jamais été un problème. Pour le moment, Comodo fournit le prix minimum, mais il s'est avéré qu'il y a un hic - pour eux, le développeur n'est littéralement personne et le lancer est une pratique normale.

Après presque un an d'utilisation du certificat, que j'ai acheté mi-2018, tout à coup, sans préavis par mail ou par téléphone, Comodo l'a révoqué sans explication. Le support technique fonctionne mal pour eux - ils peuvent ne pas répondre pendant une semaine, mais ils ont quand même réussi à en trouver la raison principale - ils ont considéré que le malware était signé avec le certificat émis. Et il serait possible de mettre fin à l'histoire sans une chose - je n'ai jamais créé de malware, et mes propres méthodes de protection permettent de prétendre qu'il est impossible de me voler la clé privée. Seul Comodo a une copie de la clé, car ils la délivrent sans CSR. Et puis - près de deux semaines de tentatives infructueuses pour trouver des preuves élémentaires. L'entreprise, qui est censée garantir la sécurité dans le domaine de la sécurité, a catégoriquement refusé de fournir des preuves d'une violation de ses règles.

De la dernière conversation avec le support technique
Vous 01:20
Vous avez écrit "Nous nous efforçons de répondre aux tickets d'assistance standard dans le même jour ouvrable". mais j'attends une réponse depuis une semaine maintenant.

Vinson 01:20
Bonjour, Bienvenue dans Sectigo SSL Validation!
Permettez-moi de vérifier l'état de votre dossier, veuillez patienter une minute.
J'ai vérifié et la commande a été annulée en raison de logiciels malveillants / fraude / phishing par notre supérieur.

Vous 01:28
Je suis sûr que c'est votre erreur, alors je demande des preuves.
Je n'ai jamais eu de malware / fraude / phishing.

Vinson 01:30
Je suis désolé, Alexander. J'ai revérifié et la commande a été annulée en raison de logiciels malveillants / fraude / phishing par notre fonctionnaire supérieur.

Vous 01:31
Dans quel dossier avez-vous vu le virus? Existe-t-il un lien vers virustotal? Je n'accepte pas votre réponse car elle ne contient aucune preuve. J'ai payé de l'argent pour ce certificat et j'ai le droit de savoir pourquoi mon argent m'a été retiré de force.
Si vous ne pouvez pas fournir de preuve, le certificat a été révoqué injustement et doit restituer l'argent. Sinon, quel est le sens de votre travail si vous révoquez des certificats sans preuve?

Vinson 01:34
Je comprends votre inquiétude. Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Selon les directives de l'industrie: Sectigo en tant qu'autorité de certification est nécessaire pour révoquer le certificat.
De plus, conformément à la politique de remboursement, nous ne pourrons pas rembourser après 30 jours à compter de la date d'émission.

Vous 01:35
Pourquoi pensez-vous que ce n'est pas une erreur ou un faux positif?

Vinson 01:36
Je suis désolé, Alexander. Selon notre rapport officiel, la commande a été révoquée en raison de logiciels malveillants / fraude / phishing.

Vous 01:37
Pas besoin de m'excuser, j'ai payé l'argent et je veux voir la preuve que j'ai violé vos règles. C'est simple.
J'ai payé pendant trois ans, puis vous avez trouvé une raison et m'avez laissé sans certificat et sans preuve de ma culpabilité.

Vinson 01:43
Je comprends votre inquiétude. Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Selon les directives de l'industrie: Sectigo en tant qu'autorité de certification est nécessaire pour révoquer le certificat.

Vous 01:45
Il semble que vous ne compreniez pas. Où avez-vous vu le tribunal qui prononce la peine sans preuve? C'est exactement ce que vous avez fait. Je n'ai jamais eu de malware. Pourquoi ne fournissez-vous pas de preuve si c'est le cas? Quelle preuve spécifique est une révocation de certificat?

Vinson 01:46
Je suis désolé, Alexander. Selon notre rapport officiel, la commande a été révoquée en raison de logiciels malveillants / fraude / phishing.

Vous 01:47
Qui puis-je connaître la véritable raison de la révocation du certificat?
Si vous ne pouvez pas répondre, dites-moi qui contacter?

Vinson 01:48
Veuillez soumettre à nouveau un ticket en utilisant le lien ci-dessous afin de recevoir une réponse le plus tôt possible.
sectigo.com/support-ticket

Vous 01:48
Je vous remercie.

Un tel résultat n'est pas unique, tout le temps des négociations dans un chat ils répondent au mieux à la même chose, soit ils ne répondent pas du tout aux tickets, soit les réponses sont tout aussi inutiles.

Je crée à nouveau un ticket
Ma demande:
J'exige la preuve que j'ai violé une règle qui a conduit à la révocation. J'ai acheté un certificat et je veux savoir pourquoi mon argent m'a été retiré.
«Malware / fraude / phishing» n'est pas la réponse! Dans quel dossier avez-vous vu le virus? Existe-t-il un lien vers virustotal? Veuillez fournir une preuve ou retourner l'argent, je suis fatigué d'écrire au support technique et j'attends depuis plus d'une semaine.
Je vous remercie.

Leur réponse:
Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Selon les directives de l'industrie: Sectigo en tant qu'autorité de certification est nécessaire pour révoquer le certificat.

L'espoir que pas un singe ne me répondra complètement disparaît. Un schéma intéressant émerge:

  1. Nous vendons un certificat.
  2. Nous attendons plus de six mois afin que via PayPal, il soit impossible d'ouvrir un litige.
  3. Nous rappelons et attendons la prochaine commande. Profit!

Comme je n'ai pas d'autres méthodes d'influence sur eux, je ne peux que faire connaître leur fraude. En achetant un certificat de Comodo, ils sont aussi Sectigo, vous pouvez rencontrer la même situation.

Mise à jour # 1 du 9 juin:

Aujourd'hui, j'ai informé CodeSignCert (la société par l'intermédiaire de laquelle j'ai acheté le certificat) que, parce qu'ils ont cessé de répondre, j'ai mis la situation à la disposition du public en référence à cet article. Après un certain temps, ils ont finalement envoyé une capture d'écran de virustotal, où le hachage du programme EzvitUpd était visible:
VirusTotal - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Mon appréciation de la situation:
Je peux dire avec certitude qu'il s'agit d'un faux positif. Signes:

  1. Désignation générique dans la plupart des opérations.
  2. L'absence de points positifs pour les leaders anti-virus.

Il est difficile de dire exactement ce qui a provoqué cette réaction d'antivirus, mais comme le fichier est très obsolète (il a été créé il y a presque un an), je n'ai pas enregistré la version source 1.6.1 pour recréer le fichier binaire. Cependant, j'ai la dernière version 1.6.5, et étant donné l'immuabilité de la branche principale, les changements y étaient minimes, mais il n'y a pas de faux positif:
VirusTotal - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

CodeSignCert est informé d'un faux positif, après l'apparition de nouveaux résultats de négociation, l'article sera mis à jour jusqu'à ce que la situation soit complètement résolue.

Mise à jour # 2 du 11 juin:

CodeSignCert a défini une condition presque impossible - ils veulent que VirusTotal soit 100% propre de tous les positifs. Ceci est techniquement presque impossible, car tous les antivirus ne répondent pas aux commentaires, pour certains, même le courrier électronique ne fonctionne pas.

Dans les commentaires, gogetssl s'est engagé à aider et a promis "Symantec Code Signing pour une période de 3 ans", puis dans des messages personnels a refusé de tenir sa promesse. Personne n'a utilisé les canaux ou s'est excusé.

Au moment où le lien a été fourni, il y avait 17 faux positifs; au moment de la dernière analyse, 15 antivirus ont corrigé leur erreur.

Mise à jour du 23 juin # 3:

Près d'un mois après le début de la procédure, CodeSignCert a accepté un remboursement. La correspondance s'est déroulée très lentement, car ils ne considéraient pas les besoins des clients comme importants et ne répondaient pas très longtemps, en attendant les instructions de Comodo. Comodo lui-même n'a rien fait pour remédier à la situation, n'a pas compensé les frais et ne s'est pas excusé.

Les revendeurs disent souvent que les règles du forum CA / B sont les mêmes pour toutes les autorités de certification et qu'ils sont tenus de révoquer tous les certificats pour lesquels il y a des points positifs. C'est un mensonge flagrant, car je peux trouver autant de fichiers qui sont miraculeusement exclus des règles, par exemple:
Comodo - 5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa
Symantec - 1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7
DigiCert - 6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46e

Les commentaires sont inutiles, des conclusions peuvent être tirées indépendamment.

Source: https://habr.com/ru/post/fr455236/

More articles:


All Articles