Dapatkah Anda bayangkan bahwa perusahaan besar akan berurusan dengan penipuan pelanggannya, terutama jika perusahaan ini memposisikan dirinya sebagai penjamin keamanan? Jadi saya tidak bisa sampai saat ini. Artikel ini adalah peringatan yang pertama kali Anda pikirkan sepuluh kali sebelum membeli sertifikat untuk menandatangani kode dari Comodo.
Karena tugas pekerjaan saya (administrasi sistem), saya membuat berbagai program bermanfaat yang saya gunakan secara aktif dalam pekerjaan saya sendiri, dan pada saat yang sama saya posting secara gratis untuk semua orang. Sekitar tiga tahun yang lalu, ada kebutuhan untuk menandatangani program, jika tidak, tidak semua klien dan pengguna saya dapat mengunduhnya tanpa masalah hanya karena mereka tidak masuk. Untuk waktu yang lama, tanda tangan adalah praktik yang normal dan tidak masalah seberapa aman program itu, tetapi jika tidak ditandatangani, tentu akan ada peningkatan perhatian terhadapnya:
- Browser mengumpulkan statistik tentang seberapa sering file diunduh, dan ketika tidak ditandatangani, pada tahap awal bahkan dapat diblokir "untuk berjaga-jaga" dan mengharuskan pengguna untuk secara eksplisit mengkonfirmasi menyimpan. Algoritma berbeda, kadang-kadang domain dianggap tepercaya, tetapi secara umum itu adalah tanda tangan yang valid yang merupakan konfirmasi keamanan.
- Setelah mengunduh file, antivirus melihat dan langsung sebelum OS dimulai. Untuk antivirus, tanda tangan juga penting, mudah dilacak pada virustotal, dan untuk OS, dimulai dengan Win10 file dengan sertifikat yang dicabut segera diblokir dan tidak dapat diluncurkan dari penjelajah. Selain itu, di beberapa organisasi pada umumnya dilarang untuk menjalankan kode yang tidak ditandatangani (dikonfigurasi oleh sistem), dan ini dibenarkan - semua pengembang normal telah lama memastikan bahwa program mereka dapat diperiksa tanpa upaya tambahan.
Secara umum, arah yang dipilih adalah yang benar - sejauh memungkinkan, membuat Internet seaman mungkin bagi pengguna yang tidak berpengalaman. Namun, implementasinya sendiri masih jauh dari ideal. Pengembang sederhana tidak bisa hanya mendapatkan sertifikat, ia perlu membelinya dari perusahaan yang telah memonopoli pasar ini dan menentukan kondisi mereka di atasnya. Tetapi bagaimana jika programnya gratis? Ini tidak mengganggu siapa pun. Kemudian pengembang memiliki pilihan - untuk terus membuktikan keamanan programnya, mengorbankan kenyamanan pengguna, atau membeli sertifikat. Tiga tahun lalu, StartCom menguntungkan, yang sekarang hidup di dasar lautan, mereka tidak pernah menjadi masalah. Saat ini, Comodo memberikan harga minimum, tetapi ternyata ada tangkapan - bagi mereka, pengembang benar-benar bukan siapa-siapa dan melempar itu adalah praktik biasa.
Setelah hampir satu tahun menggunakan sertifikat, yang saya beli pada pertengahan 2018, tiba-tiba, tanpa pemberitahuan sebelumnya melalui surat atau telepon, Comodo mencabutnya tanpa penjelasan. Dukungan teknis bekerja buruk bagi mereka - mereka mungkin tidak merespons selama seminggu, tetapi mereka masih berhasil menemukan alasan utama - mereka menganggap bahwa malware tersebut ditandatangani dengan sertifikat yang dikeluarkan. Dan adalah mungkin untuk mengakhiri cerita jika itu bukan karena satu hal - saya tidak pernah membuat malware, dan metode perlindungan saya sendiri memungkinkan untuk mengklaim bahwa tidak mungkin untuk mencuri kunci pribadi dari saya. Hanya Comodo yang memiliki salinan kunci, karena mereka mengeluarkannya tanpa CSR. Dan kemudian - hampir dua minggu upaya yang gagal untuk menemukan bukti dasar. Perusahaan, yang seharusnya menjamin keamanan di bidang keamanan, dengan tegas menolak untuk memberikan bukti pelanggaran aturan mereka.
Dari obrolan terakhir dengan dukungan teknisAnda 01:20
Anda telah menulis "Kami berusaha untuk merespons tiket dukungan standar dalam hari kerja yang sama." tapi saya sudah menunggu respons selama seminggu sekarang.
Vinson 01:20
Hai, Selamat Datang di Validasi Sectigo SSL!
Biarkan saya memeriksa status kasus Anda, tunggu sebentar.
Saya telah memeriksa dan pesanan telah dibatalkan karena malware / penipuan / phishing oleh pejabat tinggi kami.
Anda 01:28
Saya yakin ini kesalahan Anda, jadi saya minta bukti.
Saya tidak pernah memiliki malware / penipuan / phishing.
Vinson 01:30
Maafkan saya, Alexander. Saya telah memeriksa dua kali dan pesanan telah dibatalkan karena malware / penipuan / phishing oleh pejabat tinggi kami.
Anda 01:31
Di file mana Anda melihat virus? Apakah ada tautan ke virustotal? Saya tidak menerima jawaban Anda karena tidak ada bukti di dalamnya. Saya membayar uang untuk sertifikat ini dan saya berhak tahu mengapa uang saya diambil dari saya dengan paksa.
Jika Anda tidak dapat memberikan bukti, maka sertifikat dicabut secara tidak adil dan harus mengembalikan uang. Kalau tidak, apa artinya pekerjaan Anda jika Anda mencabut sertifikat tanpa bukti?
Vinson 01:34
Saya mengerti keprihatinan Anda. Sertifikat penandatanganan kode telah dilaporkan untuk mendistribusikan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diperlukan untuk mencabut sertifikat.
Sesuai kebijakan pengembalian uang, kami tidak akan dapat mengembalikan setelah 30 hari sejak tanggal penerbitan.
Anda 01:35
Menurut Anda mengapa ini bukan kesalahan atau positif palsu?
Vinson 01:36
Maafkan saya, Alexander. Sesuai laporan pejabat tinggi kami, pesanan telah dicabut karena malware / penipuan / phishing.
Anda 01:37
Tidak perlu meminta maaf, saya membayar uang dan saya ingin melihat bukti bahwa saya melanggar aturan Anda. Sederhana saja.
Saya membayar selama tiga tahun, lalu Anda datang dengan alasan dan meninggalkan saya tanpa sertifikat dan tanpa bukti kesalahan saya.
Vinson 01:43
Saya mengerti keprihatinan Anda. Sertifikat penandatanganan kode telah dilaporkan untuk mendistribusikan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diperlukan untuk mencabut sertifikat.
Anda 01:45
Sepertinya Anda tidak mengerti. Di mana Anda melihat pengadilan yang menjatuhkan hukuman tanpa bukti? Anda baru saja melakukannya. Saya tidak pernah memiliki malware. Mengapa Anda tidak memberikan bukti jika itu? Apa bukti spesifik pencabutan sertifikat?
Vinson 01:46
Maafkan saya, Alexander. Sesuai laporan pejabat tinggi kami, pesanan telah dicabut karena malware / penipuan / phishing.
Anda 01:47
Siapa yang dapat saya temukan alasan sebenarnya untuk mencabut sertifikat?
Jika Anda tidak bisa menjawab, beri tahu saya siapa yang harus dihubungi?
Vinson 01:48
Silakan kirim tiket lagi menggunakan tautan di bawah ini sehingga Anda harus menerima tanggapan sedini mungkin.
sectigo.com/support-ticketAnda 01:48
Terima kasih
Hasil seperti itu tidak unik, sepanjang waktu negosiasi dalam obrolan mereka menjawab hal yang sama di terbaik, baik mereka tidak menjawab tiket sama sekali, atau jawaban sama tidak berguna.
Saya membuat tiket lagiPermintaan saya:
Saya membutuhkan bukti bahwa saya melanggar aturan yang menyebabkan pencabutan. Saya membeli sertifikat dan ingin tahu mengapa uang saya diambil dari saya.
“Malware / penipuan / phishing” bukanlah jawabannya! Di file mana Anda melihat virus? Apakah ada tautan ke virustotal? Tolong berikan bukti atau kembalikan uang itu, saya lelah menulis dukungan teknis dan telah menunggu lebih dari seminggu.
Terima kasih
Jawaban mereka:
Sertifikat penandatanganan kode telah dilaporkan untuk mendistribusikan malware. Sesuai pedoman industri: Sectigo sebagai Otoritas Sertifikat diperlukan untuk mencabut sertifikat.
Harapan bahwa bukan monyet akan menjawab saya sepenuhnya menghilang. Skema menarik sedang muncul:
- Kami menjual sertifikat.
- Kami menunggu lebih dari enam bulan sehingga melalui PayPal tidak mungkin untuk membuka perselisihan.
- Kami mengingat dan menunggu pesanan berikutnya. Untung!
Karena saya tidak memiliki metode pengaruh lain pada mereka, saya hanya dapat mempublikasikan penipuan mereka. Membeli sertifikat dari Comodo, mereka juga Sectigo, Anda mungkin menghadapi situasi yang sama.
Pembaruan # 1 tanggal 9 Juni:Hari ini saya memberi tahu CodeSignCert (perusahaan tempat saya membeli sertifikat) bahwa karena mereka berhenti merespons, saya membuat situasi untuk komentar publik dengan merujuk pada artikel ini. Setelah beberapa saat, mereka akhirnya mengirim tangkapan layar virustotal, tempat hash program
EzvitUpd terlihat:
VirusTotal -
d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425Penilaian saya terhadap situasi:
Saya dapat mengatakan dengan yakin bahwa ini adalah positif palsu. Tanda:
- Penunjukan generik di sebagian besar operasi.
- Tidak adanya hal positif bagi para pemimpin anti-virus.
Sulit untuk mengatakan apa sebenarnya yang menyebabkan reaksi antivirus ini, tetapi karena file ini sangat ketinggalan jaman (dibuat hampir setahun yang lalu), saya tidak menyimpan sumber versi 1.6.1 untuk membuat ulang file biner. Namun, saya memiliki versi terbaru 1.6.5, dan mengingat immutability dari cabang utama, perubahan di sana sangat minim, tetapi tidak ada false false di atasnya:
VirusTotal -
c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310ebCodeSignCert diberitahu tentang false positive, setelah kemunculan hasil negosiasi lebih lanjut, artikel tersebut akan diperbarui hingga situasi benar-benar terselesaikan.
Pembaruan # 2 11 Juni:CodeSignCert telah menetapkan kondisi yang hampir mustahil - mereka ingin VirusTotal 100% bersih dari segala hal positif. Secara teknis ini hampir tidak mungkin, karena tidak semua antivirus merespons umpan balik, bagi sebagian orang, bahkan surat tidak berfungsi.
Dalam komentar,
gogetssl berjanji untuk membantu dan
berjanji "Penandatanganan Kode Symantec untuk jangka waktu 3 tahun", dan kemudian dalam pesan pribadi menolak untuk memenuhi janji tersebut. Tidak ada yang menggunakan
saluran atau meminta maaf.
Pada saat tautan diberikan,
ada 17 kesalahan positif, pada saat pemindaian terakhir, 15 antivirus
memperbaiki kesalahan mereka.
Pembaruan 23 Juni # 3:Hampir sebulan setelah dimulainya proses, CodeSignCert menyetujui pengembalian dana. Korespondensi berlangsung sangat lambat, karena mereka tidak menganggap kebutuhan pelanggan penting dan tidak merespons dalam waktu yang lama, menunggu instruksi dari Comodo. Comodo sendiri tidak melakukan apa pun untuk memperbaiki situasi, tidak mengkompensasi biaya dan tidak meminta maaf.
Pengecer sering mengatakan bahwa aturan forum CA / B adalah sama untuk semua otoritas sertifikat dan mereka diwajibkan untuk mencabut sertifikat yang positif. Ini adalah kebohongan yang terang-terangan, karena saya dapat menemukan begitu banyak file yang secara ajaib dikecualikan dari aturan, misalnya:
Comodo -
5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7faSymantec -
1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7DigiCert -
6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46eKomentar tidak perlu, kesimpulan dapat diambil secara independen.