Как стать автором
Обновить

Comodo отзывает сертификаты без причины

Информационная безопасность *Системное администрирование *IT-инфраструктура *Разработка под Windows *Софт
Могли ли вы представить себе, что крупная компания будет заниматься обманом своих клиентов, особенно если эта компания позиционирует себя гарантом безопасности? Вот и я не мог до недавнего времени. Эта статья — предостережение, чтобы вы сначала десять раз подумали, перед тем как покупать сертификат для подписи кода у Comodo.

По долгу своей работы (системное администрирование) я делаю разные полезные программы, которые активно использую в своей же работе, а заодно бесплатно выкладываю для всех желающих. Около трёх лет назад назрела необходимость подписывать программы, иначе не все мои клиенты и пользователи могли без проблем загружать их только из-за того, что они не подписаны. Уже давно подпись является нормальной практикой и не важно, насколько безопасна программа, но если она не подписана, к ней обязательно будет повышенное внимание:

  1. Браузер собирает статистику, как часто загружается файл, и когда он не подписан, то на начальном этапе он может даже блокироваться «на всякий случай» и требовать от пользователя явное подтверждение на сохранение. Алгоритмы бывают разные, иногда и домен считается доверенным, но в целом именно валидная подпись является подтверждением безопасности.
  2. После загрузки файл смотрит антивирус и непосредственно перед запуском сама ОС. Для антивирусов подпись тоже является немаловажной, это легко проследить на virustotal, а что касается ОС, начиная с Win10 файл с отозванным сертификатом сразу блокируется и его нельзя запустить из проводника. К тому же, в некоторых организациях вообще запрещён запуск неподписанного кода (настраивается средствами системы), и это оправданно — все нормальные разработчики давно позаботились о том, чтобы их программы можно было проверить без дополнительных усилий.

В целом, направление выбрано правильное — по мере возможностей делать интернет как можно более безопасным для неопытных пользователей. Однако сама реализация пока далека от идеала. Простой разработчик не может просто получить сертификат, его нужно покупать у компаний, которые монополизировали этот рынок и диктуют на нём свои условия. Но что если программы бесплатные? Это никого не волнует. Тогда у разработчика появляется выбор — постоянно доказывать безопасность своих программ, жертвуя удобством пользователей, или покупать сертификат. Три года назад выгодным был StartCom, который сейчас обитает на дне океана, с ними никогда не было проблем. На данный момент минимальную цену предоставляет Comodo, но, как оказалось, есть подвох — для них разработчик буквально никто и кинуть его — нормальная практика.

Спустя почти год использования сертификата, который я покупал в середине 2018-го, внезапно, без предварительного уведомления по почте или телефону, Comodo отозвала его без объяснения причин. Техподдержка у них работает плохо — могут не отвечать неделю, однако основную причину всё же удалось узнать — они посчитали, что выданным сертификатом было подписано вредоносное ПО. И на том историю можно было бы заканчивать, если бы не одно но — я никогда не создавал вредоносное ПО, а собственные методы защиты позволяют утверждать, что и украсть закрытый ключ у меня невозможно. Копия ключа есть только у Comodo, потому что они выдают их без CSR. А дальше — почти две недели безуспешных попыток узнать элементарное доказательство. Компания, которая якобы гарантирует защиту в сфере безопасности, наотрез отказалась предоставлять доказательство нарушения их правил.

Из последнего чата с техподдержкой
You 01:20
You have written «We strive to respond to standard support tickets within the same business day.» but I have been waiting for a response for a week now.

Vinson 01:20
Hi, Welcome to Sectigo SSL Validation!
Let me check your case status, please hold on for a minute.
I have checked and the order has been revoked due to malware/fraud/phishing by our higher official.

You 01:28
I am sure that this is your mistake, so I ask for proof.
I've never had malware/fraud/phishing.

Vinson 01:30
I am sorry, Alexander. I have double checked and the order has been revoked due to malware/fraud/phishing by our higher official.

You 01:31
In which file did you see the virus? Is there a link to virustotal? I do not accept your answer because there is no proof in it. I paid money for this certificate and I have the right to know why my money is taken from me by force.
If you can not provide proof, then the certificate was revoked unfairly and must return the money. Otherwise, what is the meaning of your work if you revoke certificates without proof?

Vinson 01:34
I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.
Also as per refund policy, we will not be able to refund after 30 days from date of issuance.

You 01:35
Why do you think this is not a mistake or a false positive?

Vinson 01:36
I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.

You 01:37
No need to apologize, I paid the money and I want to see proof that I violated your rules. It's simple.
I paid for three years, then you came up with a reason and left me without a certificate and without proof of my guilt.

Vinson 01:43
I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.

You 01:45
It seems that you do not understand. Where did you see the court that passes the sentence without proof? You did just that. I have never had malware. Why do you not provide proof if it is? What specific proof is a certificate revocation?

Vinson 01:46
I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.

You 01:47
Who can I find out the real reason for revoking the certificate?
If you can not answer, tell me who to contact?

Vinson 01:48
Please submit a ticket again using the below link so that you should receive a response as earlier as possible.
sectigo.com/support-ticket

You 01:48
Thank you.

Такой результат не единичный, всё время переговоров в чате в лучшем случае отвечают одно и то же, на тикеты либо не отвечают совсем, либо ответы настолько же бесполезные.

Снова создаю тикет
Мой запрос:
I require proof that I violated a rule that led to revocation. I bought a certificate and want to know why my money is taken from me.
«malware/fraud/phishing» is not the answer! In which file did you see the virus? Is there a link to virustotal? Please provide proof or return the money, I'm tired of writing technical support and have been waiting for more than a week.
Thank you.

Их ответ:
The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.

Надежда на то, что мне ответит не обезьяна, окончательно пропадает. Интересная вырисовывается схема:

  1. Продаём сертификат.
  2. Ждём больше полугода, чтобы через PayPal нельзя было открыть спор.
  3. Отзываем и ждём следующий заказ. Профит!

Поскольку у меня нет на них других методов воздействия, я могу только предать их мошенничество огласке. Покупая сертификат у Comodo, они же Sectigo, вы можете столкнуться с такой же ситуацией.

Обновление #1 от 9 июня:

Сегодня я уведомил CodeSignCert (компанию, через которую покупал сертификат) о том, что поскольку они перестали отвечать, то вынес ситуацию на публичное обсуждение со ссылкой на эту статью. Через некоторое время они наконец-то прислали скриншот virustotal, где был виден хеш программы EzvitUpd:
VirusTotal — d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Моя оценка ситуации:
С уверенностью могу сказать, что это ложное срабатывание. Признаки:

  1. Обозначение Generic в большинстве срабатываний.
  2. Отсутствие срабатываний у антивирусных лидеров.

Сложно сказать, что именно вызвало такую реакцию антивирусов, но так как файл сильно устарел (был создан почти год назад), то у меня не сохранился исходник версии 1.6.1, чтобы бинарно воссоздать файл. Однако у меня есть последняя версия 1.6.5, и учитывая неизменность основной ветки, изменения там вносились минимальные, но на неё нет такого ложного срабатывания:
VirusTotal — c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

CodeSignCert уведомлен о ложном срабатывании, после появления дальнейших результатов переговоров статья будет обновляться до полного решения ситуации.

Обновление #2 от 11 июня:

CodeSignCert поставил практически невыполнимое условие — хотят чтобы VirusTotal был чист на 100% от любых срабатываний. Это технически почти невозможно, потому что не все антивирусы отвечают на обратную связь, у некоторых даже почта не работает.

В комментариях gogetssl взялся помочь и пообещал «Symantec Code Signing сроком на 3 года», а затем в личных сообщениях отказался выполнять обещание. Каналы никто не задействовал и не извинился.

На момент предоставления ссылки было 17 ложных срабатываний, на момент последней проверки 15 антивирусов исправили свою ошибку.

Обновление #3 от 23 июня:

Спустя почти месяц после начала разбирательства CodeSignCert согласился на возврат. Переписка происходила крайне медленно, так как они не считают важными потребности клиентов и очень долго не отвечают, ожидая указаний от Comodo. Сам Comodo не сделал ничего для исправления ситуации, никак не компенсировал издержки и не извинился.

Часто реселлеры говорят о том, что правила CA/B-форума едины для всех центров сертификации и они обязаны отзывать любые сертификаты, на которые есть срабатывания. Это наглая ложь, так как я могу найти очень много файлов, которые чудесным образом исключаются из правил, например:
Comodo — 5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa
Symantec — 1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7
DigiCert — 6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46e

Комментарии излишни, выводы можно сделать самостоятельно.
Теги:
Хабы:
Всего голосов 68: ↑66 и ↓2 +64
Просмотры 30K
Комментарии Комментарии 192