您是否可以想象大型公司将处理其客户的欺骗行为,特别是如果该公司将自己定位为安全的担保人? 所以直到最近我才知道。 本文警告您,在从Comodo购买用于签名代码的证书之前,请先三思而后行。
由于工作(系统管理)的职责,我制作了各种有用的程序,这些程序在我的工作中会积极使用,同时我对所有人免费发布。 大约三年前,需要对程序进行签名,否则并非所有我的客户和用户都可以毫无问题地下载它们,因为它们没有签名。 长期以来,签名是一种惯例,程序的安全性与否无关紧要,但是,如果未签名,肯定会引起人们的更多关注:
- 浏览器收集有关文件下载频率的统计信息,当文件未签名时,在初始阶段甚至可以“以防万一”将其阻止,并要求用户明确确认保存。 算法是不同的,有时将域视为可信域,但通常,它是有效的签名,可以确认安全性。
- 下载文件后,将在操作系统启动前立即查看防病毒软件。 对于防病毒而言,签名也很重要,很容易在病毒总数上进行跟踪,对于操作系统,从Win10开始,带有已撤销证书的文件将立即被阻止,并且无法从资源管理器中启动。 另外,在某些组织中,通常禁止运行未经签名的代码(由系统配置),这是有道理的-所有普通开发人员长期以来一直确保无需额外努力即可检查其程序。
通常,选择的方向是正确的方向-尽可能地使经验不足的用户使用Internet尽可能安全。 但是,实现本身远非理想。 一个简单的开发人员不能仅获得证书;他需要从垄断该市场并规定其条件的公司购买证书。 但是,如果程序是免费的怎么办? 这不会打扰任何人。 然后,开发人员可以选择-不断证明其程序的安全性,牺牲用户的便利性或购买证书。 三年前,StartCom获利了,现在生活在海洋的深处,它们从来都不是问题。 目前,Comodo提供了最低价格,但事实证明,有一个陷阱-对于他们来说,开发人员实际上是没有人的,扔掉是正常的做法。
使用我在2018年中购买的证书将近一年后,突然间,科多多(Comodo)在没有事先通知的情况下通过邮件或电话将其吊销了,没有任何解释。 技术支持对他们的工作效果不佳-他们可能没有一个星期的响应,但是他们仍然设法找出主要原因-他们认为该恶意软件已使用已颁发的证书进行了签名。 如果不是一回事,就有可能结束故事-我从来没有创造过恶意软件,而我自己的保护方法使人们有可能声称不可能从我这里窃取私钥。 只有Comodo拥有密钥的副本,因为他们在没有CSR的情况下签发了密钥。 然后-几乎两周未能找到基本证据的尝试。 该公司据称在安全领域提供安全保障,断然拒绝提供违反其规则的证据。
从上一次与技术支持进行的聊天你01:20
您已经写了“我们努力在同一工作日内响应标准支持请求。” 但是我已经等了一个星期了。
文森01:20
嗨,欢迎来到Sectigo SSL验证!
让我检查一下您的案件状态,请稍等片刻。
我已经检查过,由于高级官员的恶意软件/欺诈/网上诱骗,该订单已被撤销。
你01:28
我确定这是您的错误,所以我要求证明。
我从未遇到过恶意软件/欺诈/网络钓鱼。
文森01:30
对不起,亚历山大。 我已经仔细检查过,由于高级官员的恶意软件/欺诈/网上诱骗,该订单已被撤消。
你01:31
您在哪个文件中看到了病毒? 有链接到全部病毒吗? 我不接受您的回答,因为其中没有证据。 我为此证书付了钱,而且我有权知道为什么我的钱被强行取走。
如果您不能提供证明,则证书被不公平地吊销,必须退还款项。 否则,如果您没有证明就吊销证书,您的工作是什么意思?
文森01:34
我了解您的关注。 据报道,该代码签名证书用于分发恶意软件。 根据行业指南:Sectigo作为证书颁发机构必须吊销证书。
另外,根据退款政策,自签发之日起30天后,我们将无法退款。
你01:35
您为什么认为这不是错误或误报?
文森01:36
对不起,亚历山大。 根据我们的高级官员的报告,由于恶意软件/欺诈/网络钓鱼,该订单已被撤消。
你01:37
无需道歉,我付了钱,我想看看证明我违反了您的规定。 很简单
我付了三年钱,然后您想出了一个理由,就让我没有证书,也没有证明我有罪的证据。
文森01:43
我了解您的关注。 据报道,该代码签名证书用于分发恶意软件。 根据行业指南:Sectigo作为证书颁发机构必须吊销证书。
你01:45
看来你不明白。 您在哪里看到无证通过判决的法院? 你就是这样做的。 我从来没有恶意软件。 为什么不提供证据呢? 证书撤销有什么具体证明?
文森01:46
对不起,亚历山大。 根据我们的高级官员的报告,由于恶意软件/欺诈/网络钓鱼,该订单已被撤消。
你01:47
谁能找到吊销证书的真正原因?
如果您无法回答,请告诉我该与谁联系?
文森01:48
请使用下面的链接再次提交票证,以便您尽快收到答复。
sectigo.com/support-ticket你01:48
谢谢你
这样的结果并不是唯一的,在聊天的所有时间中,他们同时回答同一件事,或者根本不回答票证,或者答案一样无用。
我要重新创建一张票我的要求:
我需要证明我违反了导致吊销的规则。 我买了一张证书,想知道为什么我的钱被我取走了。
“恶意软件/欺诈/网络钓鱼”不是答案! 您在哪个文件中看到了病毒? 有链接到全部病毒吗? 请提供证明或退款,我已经厌倦了编写技术支持并且已经等待了一个多星期。
谢谢你
他们的答案:
据报道,该代码签名证书用于分发恶意软件。 根据行业指南:Sectigo作为证书颁发机构必须吊销证书。
没有猴子会回答我的希望完全消失了。 一个有趣的方案正在出现:
- 我们出售证书。
- 我们等待了六个多月,因此无法通过PayPal提出争议。
- 我们召回并等待下一个订单。 赢利!
由于我没有其他影响他们的方法,因此我只能宣传他们的欺诈行为。 从Comodo购买证书,它们也是Sectigo,您可能会遇到相同的情况。
6月9日更新#1:今天,我通知CodeSignCert(我通过其购买证书的公司),因为他们停止了响应,因此我将这种情况提请公众参考此文章。 一段时间后,他们最终发送了一份病毒总数的屏幕截图,其中可见
EzvitUpd程序的哈希值:
病毒总数-d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425我对情况的评估:
我可以自信地说这是一个误报。 标志:
- 大多数操作中的通用名称。
- 对于反病毒领导者没有积极的一面。
很难说到底是什么原因导致了反病毒反应,但是由于该文件已经过时了(它是大约一年前创建的),因此我没有保存源代码1.6.1来二进制重新创建该文件。 但是,我拥有最新的版本1.6.5,并且鉴于主分支的不变性,更改很小,但是没有这样的误报:
病毒总数-c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb收到进一步的协商结果后,将通知CodeSignCert误报,将对文章进行更新,直到情况完全解决为止。
6月11日更新#2:CodeSignCert设置了几乎不可能的条件-他们希望VirusTotal能够100%清除任何阳性结果。 从技术上讲这几乎是不可能的,因为并不是所有的防病毒软件都能对反馈做出响应,对于某些邮件甚至邮件也无法工作。
在评论中,
gogetssl承诺提供帮助并
承诺 “为期3年的Symantec Code Signing”,然后在个人消息中拒绝履行承诺。 没有人使用这些
渠道或道歉。
在提供链接
时 ,
有 17个误报;在最后一次扫描时,有15种防病毒程序
修复了它们的错误。
6月23日更新#3:在诉讼开始近一个月后,CodeSignCert同意退款。 函授过程非常缓慢,因为他们不认为客户的需求很重要,并且很长一段时间都没有回应,等待Comodo的指示。 科莫多本人没有采取任何补救措施,没有赔偿费用,也没有道歉。
经销商经常说,对于所有证书颁发机构,CA / B论坛规则都是相同的,并且要求它们撤消所有具有肯定意义的证书。 这是一个公然的谎言,因为我可以找到很多被奇迹般地排除在规则之外的文件,例如:
Comodo-
5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa赛门铁克
-1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7DigiCert-
6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46e评论是不必要的,结论可以独立得出。