Comodo отзывает сертификаты без причины

    Могли ли вы представить себе, что крупная компания будет заниматься обманом своих клиентов, особенно если эта компания позиционирует себя гарантом безопасности? Вот и я не мог до недавнего времени. Эта статья — предостережение, чтобы вы сначала десять раз подумали, перед тем как покупать сертификат для подписи кода у Comodo.

    По долгу своей работы (системное администрирование) я делаю разные полезные программы, которые активно использую в своей же работе, а заодно бесплатно выкладываю для всех желающих. Около трёх лет назад назрела необходимость подписывать программы, иначе не все мои клиенты и пользователи могли без проблем загружать их только из-за того, что они не подписаны. Уже давно подпись является нормальной практикой и не важно, насколько безопасна программа, но если она не подписана, к ней обязательно будет повышенное внимание:

    1. Браузер собирает статистику, как часто загружается файл, и когда он не подписан, то на начальном этапе он может даже блокироваться «на всякий случай» и требовать от пользователя явное подтверждение на сохранение. Алгоритмы бывают разные, иногда и домен считается доверенным, но в целом именно валидная подпись является подтверждением безопасности.
    2. После загрузки файл смотрит антивирус и непосредственно перед запуском сама ОС. Для антивирусов подпись тоже является немаловажной, это легко проследить на virustotal, а что касается ОС, начиная с Win10 файл с отозванным сертификатом сразу блокируется и его нельзя запустить из проводника. К тому же, в некоторых организациях вообще запрещён запуск неподписанного кода (настраивается средствами системы), и это оправданно — все нормальные разработчики давно позаботились о том, чтобы их программы можно было проверить без дополнительных усилий.

    В целом, направление выбрано правильное — по мере возможностей делать интернет как можно более безопасным для неопытных пользователей. Однако сама реализация пока далека от идеала. Простой разработчик не может просто получить сертификат, его нужно покупать у компаний, которые монополизировали этот рынок и диктуют на нём свои условия. Но что если программы бесплатные? Это никого не волнует. Тогда у разработчика появляется выбор — постоянно доказывать безопасность своих программ, жертвуя удобством пользователей, или покупать сертификат. Три года назад выгодным был StartCom, который сейчас обитает на дне океана, с ними никогда не было проблем. На данный момент минимальную цену предоставляет Comodo, но, как оказалось, есть подвох — для них разработчик буквально никто и кинуть его — нормальная практика.

    Спустя почти год использования сертификата, который я покупал в середине 2018-го, внезапно, без предварительного уведомления по почте или телефону, Comodo отозвала его без объяснения причин. Техподдержка у них работает плохо — могут не отвечать неделю, однако основную причину всё же удалось узнать — они посчитали, что выданным сертификатом было подписано вредоносное ПО. И на том историю можно было бы заканчивать, если бы не одно но — я никогда не создавал вредоносное ПО, а собственные методы защиты позволяют утверждать, что и украсть закрытый ключ у меня невозможно. Копия ключа есть только у Comodo, потому что они выдают их без CSR. А дальше — почти две недели безуспешных попыток узнать элементарное доказательство. Компания, которая якобы гарантирует защиту в сфере безопасности, наотрез отказалась предоставлять доказательство нарушения их правил.

    Из последнего чата с техподдержкой
    You 01:20
    You have written «We strive to respond to standard support tickets within the same business day.» but I have been waiting for a response for a week now.

    Vinson 01:20
    Hi, Welcome to Sectigo SSL Validation!
    Let me check your case status, please hold on for a minute.
    I have checked and the order has been revoked due to malware/fraud/phishing by our higher official.

    You 01:28
    I am sure that this is your mistake, so I ask for proof.
    I've never had malware/fraud/phishing.

    Vinson 01:30
    I am sorry, Alexander. I have double checked and the order has been revoked due to malware/fraud/phishing by our higher official.

    You 01:31
    In which file did you see the virus? Is there a link to virustotal? I do not accept your answer because there is no proof in it. I paid money for this certificate and I have the right to know why my money is taken from me by force.
    If you can not provide proof, then the certificate was revoked unfairly and must return the money. Otherwise, what is the meaning of your work if you revoke certificates without proof?

    Vinson 01:34
    I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.
    Also as per refund policy, we will not be able to refund after 30 days from date of issuance.

    You 01:35
    Why do you think this is not a mistake or a false positive?

    Vinson 01:36
    I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.

    You 01:37
    No need to apologize, I paid the money and I want to see proof that I violated your rules. It's simple.
    I paid for three years, then you came up with a reason and left me without a certificate and without proof of my guilt.

    Vinson 01:43
    I understand your concern. The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.

    You 01:45
    It seems that you do not understand. Where did you see the court that passes the sentence without proof? You did just that. I have never had malware. Why do you not provide proof if it is? What specific proof is a certificate revocation?

    Vinson 01:46
    I am sorry, Alexander. As per our higher officials report, the order has been revoked due to malware/fraud/phishing.

    You 01:47
    Who can I find out the real reason for revoking the certificate?
    If you can not answer, tell me who to contact?

    Vinson 01:48
    Please submit a ticket again using the below link so that you should receive a response as earlier as possible.
    sectigo.com/support-ticket

    You 01:48
    Thank you.

    Такой результат не единичный, всё время переговоров в чате в лучшем случае отвечают одно и то же, на тикеты либо не отвечают совсем, либо ответы настолько же бесполезные.

    Снова создаю тикет
    Мой запрос:
    I require proof that I violated a rule that led to revocation. I bought a certificate and want to know why my money is taken from me.
    «malware/fraud/phishing» is not the answer! In which file did you see the virus? Is there a link to virustotal? Please provide proof or return the money, I'm tired of writing technical support and have been waiting for more than a week.
    Thank you.

    Их ответ:
    The code signing certificate has been reported for distributing malware. As per industry guidelines: Sectigo as a Certificate Authority is required to revoked the certificate.

    Надежда на то, что мне ответит не обезьяна, окончательно пропадает. Интересная вырисовывается схема:

    1. Продаём сертификат.
    2. Ждём больше полугода, чтобы через PayPal нельзя было открыть спор.
    3. Отзываем и ждём следующий заказ. Профит!

    Поскольку у меня нет на них других методов воздействия, я могу только предать их мошенничество огласке. Покупая сертификат у Comodo, они же Sectigo, вы можете столкнуться с такой же ситуацией.

    Обновление #1 от 9 июня:

    Сегодня я уведомил CodeSignCert (компанию, через которую покупал сертификат) о том, что поскольку они перестали отвечать, то вынес ситуацию на публичное обсуждение со ссылкой на эту статью. Через некоторое время они наконец-то прислали скриншот virustotal, где был виден хеш программы EzvitUpd:
    VirusTotal — d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

    Моя оценка ситуации:
    С уверенностью могу сказать, что это ложное срабатывание. Признаки:

    1. Обозначение Generic в большинстве срабатываний.
    2. Отсутствие срабатываний у антивирусных лидеров.

    Сложно сказать, что именно вызвало такую реакцию антивирусов, но так как файл сильно устарел (был создан почти год назад), то у меня не сохранился исходник версии 1.6.1, чтобы бинарно воссоздать файл. Однако у меня есть последняя версия 1.6.5, и учитывая неизменность основной ветки, изменения там вносились минимальные, но на неё нет такого ложного срабатывания:
    VirusTotal — c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

    CodeSignCert уведомлен о ложном срабатывании, после появления дальнейших результатов переговоров статья будет обновляться до полного решения ситуации.

    Обновление #2 от 11 июня:

    CodeSignCert поставил практически невыполнимое условие — хотят чтобы VirusTotal был чист на 100% от любых срабатываний. Это технически почти невозможно, потому что не все антивирусы отвечают на обратную связь, у некоторых даже почта не работает.

    В комментариях gogetssl взялся помочь и пообещал «Symantec Code Signing сроком на 3 года», а затем в личных сообщениях отказался выполнять обещание. Каналы никто не задействовал и не извинился.

    На момент предоставления ссылки было 17 ложных срабатываний, на момент последней проверки 15 антивирусов исправили свою ошибку.
    Поделиться публикацией

    Комментарии 190

      –13

      Я пытаюсь понять о чём речь. Вот я написал программу. Допустим, более-менее популярную. Её сырцы лежат на гитхабе.


      Дальше две истории:


      1. Мейнтейнер дистрибутива решает включить её в дистрибутив. Он подписывает бинарную сборку своим приватным GPG-ключом, что учитывается при обновлении репозитория, который подписан ключом ftpmasters или чем-то подобным. Всё, софт подписан.
      2. Вы решаете обойтись без мейнтейнера и публикуете свои бинарные сборки. Либо ваши пакеты подписаны, либо вы делаете миррор и выкладываете пакеты туда (и тогда подписан репозиторий). В обоих случаях пользователь должен явно подтвердить своё доверие вашему gpg-ключу.

      В каком месте сдесь фигурирует комодо? Каким образом он(о) участвует в формировании подписи?

        +3
        Я так понимаю, что речь шла про программу под MS Windows.
          +9
          В статье упоминается Windows 10, это немного не про линукс.
            0
            >В каком месте сдесь фигурирует комодо? Каким образом он(о) участвует в формировании подписи?
            Вы сами ответили на свой вопрос:
            >Либо ваши пакеты подписаны

            Вот как раз эту «подпись» или сертификат выпускает комодо.
              –15

              Нет, подпись на пакеты ставит человек, а каждый пользователь волен либо доверять ключу, либо нет. Почему при этом надо уточнять у комодо, доверенный ключ или нет, я не понимаю.

                0
                Человек не подпись а сертификат делает, без подписи. Отдает открый ключ своего сертификата комоду, который подписывает его, подтверждая тем самым заявленного издателя в этом сертификате.
                  0

                  Я знаю, как PKI работает. И говорю, что GPG'шная модель с web of trust куда более устойчива и разумна.

            0
            А что делают ваши программы?
              +4
              Полезное дело они делают, загуглите по нику автора.
              Из того, чем лично пользовался и готов порекомендовать — смартфикс и оффлайн пакет обновления для W7.
                0
                Очень полезные программы у автора
                0
                То есть, вы хотели получить сертификат у конторы, которая раздает их всем кому нипопадя и чтобы все у вас было с ним хорошо? Так не бывает…
                  +14
                  Это их прямая обязанность за продажу воздуха.
                    0
                    Вы когда серт покупали — они вас проверяли или спросили «на чье имя выдавать»? Учитывая что серты они выдают кому угодно — второй пункт. На этом бы месте вам нужно было подумать что и у кого вы покупаете и что будет потом с таким «центром сертификации».
                0
                Кстати, не рекомендую использовать измененный NSIS. Вполне вероятно что кто-то когда-то зацепился за это и пошло-поехало
                  –10
                  Тоесть Вы считаете что компания которая выдает около 400.000 сертификатов в сутки, которая является крупнейшим коммерческим центром сертификации зарабатывает с того что обманывает вас спустя 6 месяцев после оплаты? :) Вы серьезно?

                  Далее, Вы купили напрямую в Comodo/Sectigo или же через партнера? Всегда можно уточнить истинную причину отзыва, если вас обвинили в мошенничестве, значит есть лог, и есть для этого причина.

                  Далее, вы купили Code Signing, или же EV Code Signing? за 10 лет, мы практически ни разу не видели чтобы отозванный сертификат не имел для этого реальных оснований и фактов, более того, из статистики скажем, что отзывают обычно не более 0.001% сертификатов. В вашем посте чувствуется просто обида и чувство обмана, но поверьте, 99% что отозвали справедливо. Если нет, мы готовы вам сами предоставить бесплатно CodeSigning сертификат на срок до 3-х лет.

                  Предоставьте номер заказа в Comodo, мы уточним реальную ситуацию и причины отзыва.

                    +17
                    Да, я серьёзно утверждаю, что они ошиблись и не хотят делать ничего, чтобы исправить ситуацию, что равноценно обману. В таком случае не я должен верить им, а они обязаны предоставить доказательства, чтобы о чём-то говорить дальше. Покупал через CodeSignCert, поэтому сразу написал туда, они попытались узнать причину самостоятельно, но не смогли ничего выяснить и сказали писать напрямую, а в итоге вообще перестали отвечать. Номер заказа #154272507, номер обращения в техподдержку #00310677. Спасибо, если сможете прояснить ситуацию.
                      +8
                      Мы обязательно выясним причины отзыва этого сертификата и сообщим.
                      +13
                      но поверьте, 99% что отозвали справедливо

                      ок, в чём проблема предоставить пруф? Почему необходимо "верить"?

                        –7
                        1) Раскрывая точные причины и методы которыми было обноружено не корректное использование сертификата центр сертификации лишь поможет злоумышленникам обходить проверки

                        2) При выдаче сертификата верифицируется компания или физ. лицо на которое выдается сертификат, бывает что позже вскрываются не точности, или компания перестала существовать, все это будет основанием для отзыва сертификата
                          +17
                          Это всё равно что суд признал бы человека виновным без объявления доказательств, потому что в следующий раз это якобы поможет ему избежать наказания. Проверки должны быть прозрачными для всех участников, в данном случае вредоносное ПО может быть указано на virustotal.
                            0
                            Мы ожидаем ответа по вашему заказу, это займет время, т.к. нужные люди в Comodo не доступны на выходных.

                            Вопрос, а почему из всех причин вы выбрали именно проблему с вирусом?
                            Читаем причину отзыва: malware/fraud/phishing (вредоносные программы / мошенничество / фишинг). Надо рассматривать что именно за софт вы подписали и какие цели оно выполняет.
                              +6
                              Мне тоже очень интересно, что и где они нашли. Большинство моего софта можно найти на сайте в профиле. Ирония в том, что я тоже давно борюсь с вредоносным ПО.
                            +10

                            1) Ок, методы не надо. Где результат? Почему нельзя сразу указать, в чём именно проблема в malware, в fraud или phishing. Если это malware, то пример файла. Если fraud, то скрин сайта или хотя бы описане проблемы? Если phishing — хоть что-нибудь (не сталкивался, проэтому сложно придумать пример).


                            2) "позже вскрываются не точности" — подходит под мошенничество, но информцию об этом не дают. "компания перестала существовать" — этот факт тоже страшно раскрывать?


                            Ваш комментарий намомнил мне один из десятка ответов техподдержки из поста:) Есть проблема. Какая? А угадай.

                              +1
                              :))) Сложно что-то обсуждать когда люди предвзято плюсуют ответы где присутсвуют слова «мошеничество» или «опять кого-то ни за что ни прочто обманули»… Человек создал с громким названием, отзывают сертификаты… тогда как отозвали по сути 1 сертификат. Тут есть еще люди которым так же отозвали сертификат? Врятли, но зато есть возможность «полинчевать». Помойму после такого поста, люди должны были написать: «спасибо друг, будем знать что это мошенники и закажем сертификаты в другом месте» :)

                              «Где результат? Почему нельзя сразу указать, в чём именно проблема в malware, в fraud или phishing. » эти вопросы на адресовать «CodeSignCert» где и купили сертификат. В данном случае работает четкое правило, клиент моего клиент не мой клиент. Именно CodeSignCert должен быть тем, кому должны раскрыть более подробную информацию, однако как видно у них нет большого желания или возможностей уточнить в Sectigo причины.

                              А если серьезно, при покупке сертификата, клиент подписывает и соглашается с правилами центра сертификации.

                              www.comodo.com/repository/comodo-certificate-agreement.html

                              Пункт 1.2 Comodo may reject any Certificate Request and refuse to issue any ordered Certificate in its sole discretion. «Comodo может отклонить любой запрос сертификата и отказать в выдаче любого заказанного сертификата по своему усмотрению.»

                              Пункт 1.6. Subscriber Obligations. Subscriber shall:
                              (i) use the Certificates only for the purposes listed in the Comodo CPS; «Обязательства Абонента. Подписчик обязан: (i) использовать Сертификаты только в целях, перечисленных в Comodo CPS;»

                              Пункт 3. Отзыв. Comodo может отозвать сертификат, если Comodo считает, что:
                              1. Абонент запросил отзыв сертификата или не санкционировал выдачу сертификата;
                              2. Подписчик нарушил это соглашение;
                              3. Конфиденциальная информация, связанная с Сертификатом, была раскрыта или скомпрометирована;
                              4. Сертификат был 1) неправомерно использован, 2) использован вопреки закону, правилу или постановлению или 3) использован прямо или косвенно в незаконных или мошеннических целях;
                              5. информация в сертификате является неточной или вводящей в заблуждение,
                              6. Сертификат не был выдан или использован в соответствии с CPS Comodo, отраслевыми стандартами или, для сертификатов EV, Руководствами по EV;
                              7. Comodo 1) прекратил свою деятельность или 2) больше не имеет права выдавать сертификат, и никакой другой центр сертификации не согласился предоставить поддержку отзыва для сертификата;
                              8. Абонент добавляется как запрещенная сторона или запрещенное лицо в черный список или работает из запрещенного места назначения в соответствии с законодательством юрисдикции Comodo;
                              9. Сертификат был выдан издателям вредоносного программного обеспечения;
                              10. CPS разрешает отзыв сертификата;
                              11. это соглашение прекращается; или же
                              12. Сертификат, если его не отозвать, поставит под угрозу статус доверия Comodo.

                              После отзыва сертификата Comodo может по своему усмотрению переиздать сертификат подписчику или расторгнуть соглашение."

                              Вопрос 1: О каком тогда мошенничестве идет речь, если клиент подписался и согласился с правилами?

                              Вопрос 2: а на какой срок вы заказывали сертификат?
                              «Спустя почти год использования сертификата, который я покупал в середине 2018-го, внезапно, без предварительного уведомления по почте или телефону», чисто из интереса, а на какой срок вы заказывали сертификат? На 1 год? На сколько мы видим сертификат был заказан где-то в конце Июня, начале Июля, тоесть вы потеряли около 30 дней. Рыночная стоимость 80$ в год (80/12=6$), именно эту сумму вы потеряли. Честно говоря на месте «CodeSignCert» было даже проще их вернуть из своего кармана, чтобы не раздувать конфликт, но это лирика.

                              Вопрос 3:
                              Вы уже заказали новый сертификат у другого центра сертификации, например у Thawte, DigiCert? Спрашиваем потому, что если причина отзыва реальна, то вы в черном списке, и другие центры сертификации, доверяя расследованию коллег, отклонят выдачу сертификата. Проще говоря, для вашей компании вы уже не получите сертификат нигде. Только что пробовали скачать и установить ваш софт, но сертификат не действителен, что говорит в пользу того, что другие центры не спешат выдавать вам сертификат. Никого не обвиняем, но это сухие факты

                              Мы лишь выдимим ситуацию с нашей колокольни, но анализ вашего софта уже наводит на ряд вопросов, из вашего описания: «Сейчас поддерживается Windows XP Rus и Windows 7-10, утилита работает с двумя источниками «запчастей» — интернетом и непосредственно дистрибутивом системы. Запустить проверку без интернета нельзя, так гарантируется наличие хотя бы одного источника компонентов. При использовании обоих источников эффект суммируется — если необходимые файлы будут найдены хотя бы в одном источнике, они будут восстановлены.»

                              Тем самым, ваш софт, из интернета, подыскивает нужный файл для загрузки на клиентский компьютер для починки? Вопрос источника, возможно 1-из таких файлов был недостаточно проверен, в нем был троян, и по цепочки жалоб отозвали ваш сертификат. А может ваш софт к себе закачивает какие-то файлы клиента для проверки, что тоже может быть проблемой. К сожалению протестировать не можем, и обвинять голословно тоже не хотим.

                              Надо конечно дождаться ответа от центра сертификации.

                                –4
                                Только что получили ответ от Nick France (Chief Technology Officer of SSL Comodo/Sectigo).

                                Checking databases such as Virustotal confirmed that a high number of AV scanning engines reported the software as being malicious, and signed with a Sectigo certificate — so we revoked the certificate.

                                Перевод: Проверка баз данных, таких как Virustotal, подтвердила, что большое количество антивирусных программ сообщили, что программное обеспечение является вредоносным, и подписали его сертификатом Sectigo, поэтому мы отозвали этот сертификат.

                                Проще говоря, вам нужно обращаться к разработчикам антивирусов, и доказывать свою правоту что ваш софт не является вредоносным. Отзыв сертификата более чем правомерный в данном случае
                                  +6
                                  И где ссылка на virustotal?
                                    +9
                                    Любой разработчик софта хоть раз сталкивался с тем, что его программы попадали под какие-то антивирусы. Тут не нужно делать ничего сверхъествественного, достаточно чтобы сигнатура появилась в паре наиболее известных, после этого она будет сперта и размножена практически по всем остальным. Естественно в 99.99% случаев это false positive, примеров в интернете описано достаточно. Нужно ли отзывать сертификаты без какого-то официального экспертного заключения — спорный вопрос. Но как бы то ни было, это не главное, главное — вернет ли Comodo сертификат бесплатно, если будет доказано, что это false positive?
                                      0
                                      С большой долей вероятности деньги не вернут, однако точно предложат компенсацию при получении нового сертификата ввиде скидок и дополнительных сервисов.
                                        +12
                                        Ну тогда извините, по моим представлениям о мире это все же обман клиента. Непреднамеренный наверное, просто дыра в системе, но тем не менее.
                                          0
                                          Уточним, клиент сделал заказ не в Comodo, а у их реселера, тоесть деньги Comodo вернуть могут лишь реселеру, а не клиенту. Если же покупка напрямую, то сценарий будет другой.
                                            +1
                                            Итак, хотели факты, извольте, господа хорошие :)

                                            1) Идем на сайт www.virustotal.com/gui/home/url

                                            2) Вводим сайт автора simplix.info
                                            www.screencast.com/t/ZzLUgir6Hd

                                            3) получаем результат
                                            www.screencast.com/t/kb1KyYnt
                                            Avira сообщает об Malware

                                            4) Идем далее, ищем через поисковик
                                            www.virustotal.com/gui/home/search
                                            www.screencast.com/t/SE4L1VBpMex

                                            5) Закладка Relations
                                            www.screencast.com/t/SgIeqLwf4rzB
                                            www.screencast.com/t/NonIZlEni

                                            Два десятка отметок по этому софту, многие из которых реальные подписанные EXE файлы. Иными словами, данный разработчкик не просто случайно попал в эту базу, а регулярный, практически на каждый релиз версии есть запись.

                                            Информация публична и доступна любому желающему.
                                              0
                                              Обращаем внимание что первая запись датируется 2016 годом, далее почти каждый месяц идет отметка www.screencast.com/t/GjhEgzyD13
                                                –3
                                                а тут ище букет
                                                www.screencast.com/t/kXXSg24QC6W0
                                                  +4
                                                  Ага: Касперский и другие: not-a-virus, downloader. Типа может что-нибудь скачать? Виновен в изнасиловании, потому что может.
                                                    +8
                                                    Секундочку, не вводите людей в заблуждение. То, что видно на скриншоте с рейтингом 7/69 — не мой файл, а из таблицы Files Referring. Мои же файлы находятся в таблице URLs и там стабильно 1 ложное срабатывание от Avira, но не на файлы, а на сам сайт, где не используется обсуждаемый сертификат (у меня Let's Encrypt).
                                                  +3
                                                  Идем на сайт www.virustotal.com/gui/home/url

                                                  2) Вводим сайт автора simplix.info


                                                  Одно срабатывание из более чем пятидесяти антивирусов — причем с длинной историей, это ни о чем.
                                                    –11
                                                    Сначало все просят ссылку на VirusTotal и придают анафеме всех вокруг, дали ссылку, там есть негативная запись, снова не устраивает :)

                                                    Претензии есть у Alvira, у них есть простая форма для подачи сайта на рассмотрение ложного срабатывания (не вредоносное ПО)
                                                    analysis.avira.com/ru/submit-urls
                                                    www.screencast.com/t/IG9l6UYPD2su

                                                    Автор может там подать, если они признают ошибку, то очистится VirusTotal, и тогда по цепочке можно что-то сообщать центра сертификации. Ну а если появится желание сказать что-то вроде: «пусть Alvira сама все докажет» то уже диагноз. Автору никто ничего не должен, это его обязанность следить за своим софтом и вычищать себя из черных листов. Когда домен попадает в СПАМ фильтры, мы же не ноем, а идем на сайты, просим почистить и так далее… а тут пардон развели базар на ровном месте. Комодо запись увидели, отозвали, все сделали по регламенту того же CA/B форума.
                                                      +7
                                                      А при чём здесь одно ложное срабатывание на домене до обсуждаемого сертификата?
                                                        –7
                                                        Ухххх… мы сдаемся, правда, нам уже нечего сказать, честно. Comodo мошенники, везде все виноваты, им верить нельзя, а ваше собственное предположение о ложном срабатывании это конечная инстанция. Если операться на факты, то у Комодо есть конкретная ссылка на конкретный антивирус который вас пометил, у вас же нет ни одного аргрумента в пользу ложного срабатывания, ни письма от Alvira об ошибке, ни от VirusTotal что вас исключили и все чисто. Но зато всеравно все вокруг что-то должны, в чем то виноваты.

                                                        Мы чем смогли помогли, информацией поделились, в Комодо сообщили об инциденте, у CTO уточнили причины и диагноз, статус захабенный тоже схлопотали, так что лучше будет молчать, умнее будем казаться.

                                                        Всем приятных выходных
                                                          +5
                                                          Comodo до сих пор не предоставил ссылку на файл, который подписан моим сертификатом и имеет плохой рейтинг. Что значит нет аргумента в пользу ложного срабатывания? По реакции других антивирусов видно, что оно ложное.
                                                            –4
                                                            Нам ничего понимать не нужно, мы не центр сертификации который принял решение. Мы уважаем решения центра. У вас есть право доказать обратное, в данном случае начните хоты бы с того что решите проблему с Alvira.
                                                              +3
                                                              У меня нет проблемы с Avira, поскольку детект на сайт с сертификатом от Let's Encrypt не имеет отношения к файлам, подписанным Comodo. Я вам несколько раз попытался объяснить это, но видимо вы не специалист в таких вопросах.
                                                              –4
                                                              Может мы ошибаемся, но для того чтобы софт засветился более широко, он должен быть популярным и попасть в поле зрение разных антивирусов на конечных ПК.

                                                              SSL сертификат на сайте, даже не установленный, просроченный или еще какой, никак не может повлиять на то что файл на домене станет MALWARE
                                                              www.screencast.com/t/7NTWsmn0BbDO
                                                                +4
                                                                На вашем скриншоте указан детект на домен, а не на подписанный файл. Вы почему-то упорно не видите разницу. Основанием отзыва сертификата может быть только детект на файл, подписанный этим сертификатом.
                                                                  0
                                                                  Может мы ошибаемся, но для того чтобы софт засветился более широко, он должен быть популярным и попасть в поле зрение разных антивирусов на конечных ПК.

                                                                  Возможно я ошибаюсь (первый раз вижу этот сайт — virustotal), но среди вариантов анализа файлов антивирусом есть: malware, clean, unrated. Т.е. если файл не засветился в этой базе, то оцена будет unrated, а если засветился и нет подозрений — clean.

                                                                +5
                                                                Вы правда не понимаете разницу между реакцией антивируса на домен и на файл? Подписанный обсуждаемым сертификатом публичный чистый файл невозможно назвать вредоносным на том основании, что он расположен на домене с одним ложным срабатыванием, это вообще несвязанные вещи.
                                                                Представьте, что ваш легальный подписанный файл разместили на сайте с плохим рейтингом virustotal. Если вы будете согласны с отзывом сертификата в этом случае, то просто неверно понимаете доказательную базу.
                                                          +5
                                                          Не следует путать ложное срабатывание о URLs, где используется Let's Encrypt, и подписанные файлы. Вы проверьте сами файлы, подписанные обсуждаемым сертификатом.
                                                  +12
                                                  И с каких это пор сам факт появления в VirusTotal является гарантией того что нечто является тем чем его обзывает антивирус? Про ложные срабатывания (которые совсем нередки) в Comodo не слышали?

                                                  Порядочная компания должна дать клиенту объяснится, а не молча отказывать в услуге (причём не называя конкретной причины — не будь здесь вас, она бы осталась неизвестной, как, вероятно, и происходит в 99% остальных подобных случаев).

                                                  К тому же, в данном конкретном случае я не вижу какой из пунктов правил был нарушен — по крайней мере пока не доказано что приложение автора действительно является malware, а в списке основания для отзыва VirusTotal даже не упоминается, равно как нет и ни слова о том что считается «вредоносным программным обеспечением».

                                                  Грубо говоря, Comodo просто прикрыл свою задницу чисто на всякий случай, за счёт клиента, без проверки, потому что «нам кажется» и "миллионы мух антивирусы не могут ошибаться" — может, формально это и не мошенничество, но по сути — таки да.
                                                    –13
                                                    Вывод: Центр сертификации всегда будет виноват :)

                                                    «Comodo просто прикрыл свою задницу чисто на всякий случай» — именно так они и поступают, именно так же банковские проверки AML блокируют счета и просят клиентов уйти в другие банки. Вы видите все со своей позиции, но не позиции центров. Вот пример как работает любой банк, там есть отдел AML (anti money laundering), так вот чтобы платеж был заблокирован достаточно мнения 1-го из 5 специалистов, а все потому, что специалисты AML, несут персональную, уголовную ответственность, за каждый пропущенный платеж, конечно страх остатся без работы, денег и получить статью будет блокировать сделки которые хоть как-то сомнительные. Тоже самое и тут, если появились любые сомнения, даже если это новолуние, то сертификат могут отозвать. Но по личному опыту, у нас 77,000 клиентов в 224 странах, выдано более миллиона сертификатов через нас, скажем, отзыв сертификата это крайне редкие случае, единицы отзывают.

                                                    Так работают ВСЕ центры сертификации, напомним, за последние годы не менее 4 центров были закрыты, StartSSL, WoSign и другие, как раз таки за раздачу сертификатов налево и направо, и ДА, центры перестраховывются.

                                                    Какой реальный смысл отозвать сертификат просто так и лишится клиента и продлений? Это экономическое самоубийство в долгосрочной перспективе для самого центра.

                                                    «Сертификат был 1) неправомерно использован, 2) использован вопреки закону, правилу или постановлению или 3) использован прямо или косвенно в незаконных или мошеннических целях;»
                                                    Этого пункта достаточно чтобы отозвать любой заказ, 220+ юрисдикций, с уверенностью можно сказать, если центр захочет легально отозвать сертификат — он это сделает
                                                      +8
                                                      именно так же банковские проверки AML блокируют счета и просят клиентов уйти в другие банки

                                                      Есть небольшой нюанс с этой аналогией. Банк должен:
                                                      — сослаться на конкретные основания для блокировки;
                                                      — дать клиенту возможность доказать свою правоту;
                                                      — компенсировать клиенту прямой ущерб если банк оказался неправ.

                                                      У меня была ситуация когда банк заблокировал мой счёт потому что их письмо мне вернулось с пометкой «адресат не проживает по адресу» (косяк почты), пришлось явится к ним и с паспортом и регистрацией для опровержения. За эти дни (меня даже не проинформировали о блокировке, хотя телефон им был известен) у меня были отменены несколько транзакций и я попал на штрафные санкции (прямой ущерб) — всё это банк мне компенсировал.

                                                      В данном же случае, Comodo просто тихо слился — благо он не банк и не обязан отвечать за свои косяки (увы), в то время как у клиента тоже могут быть прямые потери связанные с отзывом сертификата.

                                                      Жаль что деятельность CA не регулируется, обязать их расследовать такие случаи и нести ответственность было бы очень здорово, особенно за те деньги что они гребут.

                                                      Какой реальный смысл отозвать сертификат просто так и лишится клиента и продлений?

                                                      Если конкретная причина не указана — это и есть «просто так». При сотнях тысяч клиентов (если не миллионах) потеря даже тысячи клиентов — ничто для компании, уж вы-то точно знаете что затраты на издание сертификата (себестоимость) минимум на порядок ниже его цены (letencrypt это ярко продемонстрировал).

                                                      Другой косяк заключается в том что в чатах вообще бывают боты — если человек обращается за поддержкой отличной от технической, там должны быть живые люди.

                                                      В общем куда не плюнь, пока везде только косяки от Comodo (или их реселлеров), ибо клиент (автор) вообще ничего не нарушил, и не его вина что антивирусы с VirusTotal явно ошибочно посчитали его приложение вредоносным.
                                                        +2
                                                        а все потому, что специалисты AML, несут персональную, уголовную ответственность, за каждый пропущенный платеж
                                                        Глупости не выдумывайте, пожалуйста.
                                                        +1
                                                        «Порядочная компания должна дать клиенту объяснится, а не молча отказывать в услуге » это проблема не центра, а реселлера у которого клиент купил, это их пардон «косяк» что они не способны уточнить детали. Центр не отмалчивался, то что в Live chat клиент попался на рядового робота это факт, но написав официальный запрос от компании он получил бы детальный ответ.

                                                        Мы не предоставили ссылку на VirusTotal, так как это не наш клиент, мы и так вынудили Comodo открыть данные заказа другого клиента, что уже не особо хорошо. Тщательно выбирайте где заказывать сертификат, на себя не намекаем :)
                                                        +2
                                                        А как вы считаете, это вообще похоже на адекватный ответ?
                                                        Это посыл на три известных буквы в культурной форме и ни как иначе его понимать нельзя.
                                                          –1
                                                          Эти вопросы надо адресовать реселеру, их обязанность обьяснить клиенту, почему он заплатив деньги не получил услугу. Это взаимоотношения реселера и клиента.
                                                          +7
                                                          Отзыв сертификата более чем правомерный в данном случае
                                                          Это вообще прекрасно, как я понимаю вы тоже без доказательств решили поверить на слово Comodo и стать на его сторону. Зачем вызвались помочь — не понятно, только репутацию себе портите.
                                                            –4

                                                            Да причем тут репутация, нам достаточно доверяют, дело принципа. Мы помогли вам чем смогли, указали истинную причину отзыва, вас она не устроила, что логично. Если вы не согласны с тем, что ваш реселлер не вернул вам деньги, пишите официальную претензию им. Прочитайте их правила и соглашения по этому поводу, ведь вы подписали как договор у реселлера, так и у Комодо. Комодо вернуть вам средства не могут физически, ибо между вами нет финансовых отношений, вы им не платили. Оплата сделана партнеру, он обязан отчитаться о причинах невозврата, если причина вас не устраивает и в их договоре НЕ сказано что могут без обьяснений прекращать услугу, то предьявите претензию, подсчитав ущерб. Как уже высказались специалисты выше, вы выиграете чуть ли не с гарантией в 99%. При этом суд будет не с Комодо, а реселером, что дешевле и проще. Вы вернете весь ущерб

                                                              +4
                                                              Давайте будем честными, вы указали не истинную причину отзыва, а бездоказательное мнение сотрудника Comodo.
                                                                +1

                                                                Договор что вы подписали, черным по белому перечисляет причины по которым можно отозвать сертификат, там нет ни слова про доказательства. Зачем покупать там где договор вас не устраивает, куда проще проскролить и неглядя нажать Approve, а потом искать козлов отпущение, извините но это так. Весь спор основан на том что вам обязаны чтото предьявить, но это не так. Накажите коллективно Комодо, создайте акцию под названием "бойкотируйте нечестный Комодо".

                                                                  +3
                                                                  Ну так пусть этот комодо и скажет «мы отзываем сертификат по причинам которые отказываемся вам сказать, а право нам дает подписанный договор», а не утверждает, что тут malwar/virus, не давая никаких доказательств.

                                                                  Возможно владелец сертификата не только хочет свой сертификат, а в первую очередь проверить что происходит, какой именно malwar с его сертификатом появился и принять меры.

                                                                  Вы же отвечаете как техподдержка comodo, которая цитирует один и тот же ответ, напоминая больше бота, а не человека.
                                                                    –7
                                                                    Итак, хотели факты, извольте, господа хорошие :)

                                                                    1) Идем на сайт www.virustotal.com/gui/home/url

                                                                    2) Вводим сайт автора simplix.info
                                                                    www.screencast.com/t/ZzLUgir6Hd

                                                                    3) получаем результат
                                                                    www.screencast.com/t/kb1KyYnt
                                                                    Avira сообщает об Malware

                                                                    4) Идем далее, ищем через поисковик
                                                                    www.virustotal.com/gui/home/search
                                                                    www.screencast.com/t/SE4L1VBpMex

                                                                    5) Закладка Relations
                                                                    www.screencast.com/t/SgIeqLwf4rzB
                                                                    www.screencast.com/t/NonIZlEni

                                                                    Два десятка отметок по этому софту, многие из которых реальные подписанные EXE файлы. Иными словами, данный разработчкик не просто случайно попал в эту базу, а регулярный, практически на каждый релиз версии есть запись.

                                                                    Информация публична и доступна любому желающему.
                                                                      +3
                                                                      Тоесть, если я у симпликса размещу дистибютив с windows — скачаный с оф сайта — то он тоже будет признан малварю? Ну всьо — виндекапец
                                                                        +2
                                                                        У кого еще есть личные счеты с какими либо разработчиками, обращайтесь к автору, может таки зальет на сайт)))

                                                                        А если серьезно, удивляет неспособность человека работающего в фирме занимающейся выпуском сертификатов, отличить срабатывания на URL и на исполняемый файл, даже после того как его в это, извините за выражение, уже мордой ткнули…

                                                                        PS. Сертификат которым подписан исполняемый файл и сертификат домена разные.
                                                            0
                                                            Скорее реакция на поведенческий анализ (сайт даже рисует матрицу ATT@CK), только куча системных утилит ведёт себя также.

                                                            Похоже Comodo испугались возможных санкций от Гугла/Мозиллы/etc и решили банить за любую подозрительную активность.
                                                              0
                                                              У меня сайт которому буквально час — тоже был признан вирусным — написал в гугл — через день сняли. Ложняки есть у всех… И пугаться ну не очень аргумент.
                                                                0
                                                                Боязнь отзыва рутового сертификата не аргумент, а мотивация для наплевательского отношения к клиентам.
                                                            +4
                                                            1. Логично, что компания старается защититься и в максимальной допустимой законом степени снять с себя ответственность, однако в случае нарушения клиенту должно быть понятно, что послужило основанием для отзыва. Если бы они сразу ответили по-человечески, этой статьи бы не было.
                                                            2. Три года, эта информация есть в чате. Почему-то дату отзыва они поставили не реальную, а как дату выдачи.
                                                            3. Деньги на деревьях не растут и я пытаюсь сначала закрыть этот вопрос. Источник файлов — мой сервер, файлы пользователей не закачиваются. Конечно ждём ответа, иначе о чём говорить.
                                                              +5
                                                              Пункт 3. Отзыв. Comodo может отозвать сертификат, если Comodo считает, что:

                                                              По списку всё разумно. Но что на счёт указания клиенту причин отзыва сертификата?
                                                              Если компания считает (а тем более закрепляет это в договоре), что имеет право отзывать сертификат без указания причин — это повод с такой компанией дел не иметь.
                                                                –15
                                                                в РФ вы привыкли к законам, что государтсвенный обвинитель (прокурор) должен доказать вину. В Европе, Америке обычно иначе, вы должны доказать что НЕ виновны. Другое правовое поле, другие правила. Сертификат выдан не в РФ, это нужно помнить.

                                                                И снова, клиент не является клиентом центра сертификации напрямую, причину должны уточнять сами реселеры.
                                                                  +8
                                                                  Вопрос не в доказательстве вины или невиновности, а в предъявлении факта нарушения. Как можно доказать невиновность, если не понятно, в чем конкретно тебя обвиняют?
                                                                  Это выглядит примерно так, что ты идешь по улице, а к тебе подбегает полицейский и арестовывает, но на вопрос «за что?», тебе отвечают «вы нарушили закон!» и дальше по кругу «какой закон?», «вы нарушили закон».
                                                                  Это абсурд, вам так не кажется?
                                                                    0
                                                                    Что то заглючило, предыдущий комментарий продублировался.
                                                                    Этот можно удалить
                                                                      +12
                                                                      В ЕС, равно как и в США, создание или распостранение malware является уголовным преступлением, а в уголовном праве действует презумпция невиновности (в отличие от гражданского).

                                                                      Comodo (посредством реселлера) фактически обвинил автора в уголовном преступлении, а вот как раз это нужно доказывать даже в ЕС и США.

                                                                      Будь у автора время, желание и деньги на адвокатов, он бы мог подать на Comodo в суд и с вероятностью 99% выиграть процесс, проиграть он его мог бы только если в самом договоре где-то мелким текстом упомянут VirusTotal или нечто аналогичное. Увы, затраты на суд несоразмеримы с нанесенным ущербом (в большинстве аналогичных случаев) — именно это «спасает» Comodo.

                                                                      Я почему-то уверен что окажись в подобной ситуации какая-нибудь известная и мощная компания, с популярным софтом у которого отозвали бы сертификат, Comodo шустренько бы «дал заднюю» и извинился за ошибку.
                                                                        –10

                                                                        Скажите, а что стоит клиенту написать письмо в VirusTotal и уточнить детали, и гордо сообщить всем что он чист а пиндосы, да и мы вместе с ними обычные кидаловы и голословные обвинители честного и порядочного человека? Песли это окажется так, то мы предоставим бесплатно, самый дорогой сертификат Symantec Code Signing сроком на 3 года, а так же BusinessTrust EV сертификат сроком на 2 года для основного сайта клиента. Это 1500$ в деньгах

                                                                          +4
                                                                          обычные кидаловы и голословные обвинители
                                                                          Выглядит именно так…
                                                                            –3

                                                                            Как вам угодно… Это ваше право думать именно так.

                                                                              +6
                                                                              А это можно как то иначе трактовать? Попробовал с разных сторон на ситуацию посмотреть, никак иначе это трактовать не получается.
                                                                              Если быть объективным, то мы не знаем, что там автор делал на самом деле и что подписывал. Даже если он плодил вири и прочую заразу, ну чисто теоретически предположим, то все равно такая позиция компании неадекватна. Выглядит это просто как «ты кусок г*** и я тебе ничего не должен, что хочу, то и творю». Там прекрасно понимают, что никто с ними судиться из-за 200$ (образно) не будет и ничего им не сделает и ведут себя просто по хамски с позиции силы типа «мне так хочется и я просто могу». Думаю, что будь это не одиночный разработчик, а какая нибудь крупная компания, которая может себе позволить подать в суд и добиваться своей правоты, то диалог был бы совсем другим.
                                                                              Сам не раз сталкивался, когда крупные компании будучи заведомо неправы вели себя просто по хамски по принципу «нам так просто хочется и на тебя плевать с высокой колокольни»…
                                                                            +2
                                                                            Написал письмо в VirusTotal, если ответят — напишу результат здесь же.
                                                                              0

                                                                              Большое спасибо, если все окажется именно так как вы описываете, то мы задействуем все каналы, чтобы перед вами извинились, вернули деньги, а тпк же предоставим те сертификаты о которых мы сообщили

                                                                                +2
                                                                                По совету CodeSignCert я написал каждому антивирусу, у которого произошло ложное срабатывание. Если хотя бы часть из них отреагирует на ситуацию, мы увидим уменьшение количества срабатываний при пересканировании этого же файла через несколько дней.
                                                                              +6
                                                                              VirusTotal это всего лишь агрегатор, писать нужно автору каждого антивируса и убеждать что это ложная тревога. Антивирусов там около 60, и если хотя бы 30 из них говорят «плохой мальчик» — каковы шансы всё это разрулить, даже если вы на 200% правы?

                                                                              Проблема как раз в том что Comodo использует VirusTotal как источник абсолютной истины, в то время как большинство специалистов в IT отлично понимают что не существует антивируса (или методов) на 100% исключить false positive, и на самом деле это случается чуть реже чем очень часто, равно как и c false negative.

                                                                              Если бы у меня были ресурсы Comodo, то на каждую такую жалобу я бы давал задание своим сотрудникам лично проверить приложение и предоставить развернутый отчёт (с фактами, коли таковые обнаружатся), особенно если учесть что сам Comodo имеет свой собственный антивирус и соответствующих специалистов — и был бы уверен что клиенты получают то за что платят, а не филькину грамоту.

                                                                              Фактически вы обвиняете автора в том что его приложение — malware, при том что ни лично вы, ни CA этого не проверяли — вы слепо следуете тому что так утверждают совсем не идеальные антивирусы.

                                                                              Поймите простую вещь — если вы что-то утверждаете, будьте готовы нести ответственность за это, в противном случае, даже если закон (и «устоявшиеся практики бизнеса») на вашей стороне, ничего хорошего, кроме плохого, вы не получите в качестве реакции.

                                                                              И пока вы не провели соответствующее экспертное расследование — таки да, любые обвинения голословны.

                                                                              Думаю, если бы кто-то на вас настучал что вы храните наркотики (в то время как это не так), с последующими маски-шоу, вы бы сильно возмущались и вряд-ли посчитали бы действия правоохранителей правомерными — так в чём же разница в данной ситуации? Те же маски-шоу, только в цифровом виде, по ничем не подтвержденному стуку.
                                                                                –3

                                                                                Никто не идеален. Давайте тогда посчитаем на сколько увеличится цена продукта, если в нее заложат ручные проверки всех таких случаев? По каким критериям отбирать клиентов на тесты? Предлагаете Комодо лично проверять все файлы которые подписывают клиенты? Или проверять те на кого есть жалобы? Жалобы от кого рассматривать, а от кого принимать к сведению? Рассматривать ли каждую жалобу простого человека которому чтото показалось? Вот для этого и есть агрегаторы жалоб и проблем как VirusTotal, и думаем если в результате ваших перепроверок в большинстве случаев все подтвердится то вы начнете принебрегать проверкам и доверять мнению сервиса.


                                                                                Мы бы рекомендовали пригласить в дискуссию тех кто продал сертификат, мы лишь случайно шли мимо, да и по кол-ву минусов видимо лучше бы шли дальше. Как говориться не влезай в ссору, останешься виноватым…


                                                                                Мы не хотим обвинять ни клиента ни Комодо, у каждого своя правда. Комодо НЕ отказываются от диалога, это видно из тех ответов что мы получили от них, но запрос на детальные данные и факты обязаны(!) запрашивать те кто продал сертификат, это их обязанность. Клиент не прочитал договор и не учел специфики бизнеса в который он влез, он создает ПО и должен быть готов к палкам в колесах и от конкурентов и просто недоброжелателей…


                                                                                В любом бизнесе есть потерии, да, он потерял деньги, но нужно идти дальше, извлечь пользу и приспосабливаться, никто не обещал что будет легко, даже если кажется что ПО которое вы делаете полезное и нужное. Это жизнь. Но все центры сертификации имеют такие правила, увы… Есть EV codeSigning сертификаты, с ними проблем меньше, они более доверенные

                                                                                  0
                                                                                  Давайте тогда посчитаем на сколько увеличится цена продукта, если в нее заложат ручные проверки всех таких случаев?

                                                                                  Вы же уже сказали, что подобных случаев — можно по пальцам пересчитать?
                                                                                    0

                                                                                    Да, но проверять придется всех. И потом, Комодо выдают 400.000 в день, мы намного меньше и пропорция будет другая.

                                                                                  –4
                                                                                  Итак, хотели факты, извольте, господа хорошие :)

                                                                                  1) Идем на сайт www.virustotal.com/gui/home/url

                                                                                  2) Вводим сайт автора simplix.info
                                                                                  www.screencast.com/t/ZzLUgir6Hd

                                                                                  3) получаем результат
                                                                                  www.screencast.com/t/kb1KyYnt
                                                                                  Avira сообщает об Malware

                                                                                  4) Идем далее, ищем через поисковик
                                                                                  www.virustotal.com/gui/home/search
                                                                                  www.screencast.com/t/SE4L1VBpMex

                                                                                  5) Закладка Relations
                                                                                  www.screencast.com/t/SgIeqLwf4rzB
                                                                                  www.screencast.com/t/NonIZlEni

                                                                                  Два десятка отметок по этому софту, многие из которых реальные подписанные EXE файлы. Иными словами, данный разработчкик не просто случайно попал в эту базу, а регулярный, практически на каждый релиз версии есть запись.

                                                                                  Информация публична и доступна любому желающему.
                                                                                    +3
                                                                                    Т.е. вас вообще не смущает что имеющиеся детекты только у одного и того же «антивируса», а остальные 67 штук ничего там не нашли?
                                                                                    Сами вообще когда нибудь что нибудь чуть больше чем «Hello World» пробовали писать? К примеру, параноидально шизофренический 360 TS может вообще обычный «Hello World» на C++ скомпилированный «не тем» компилятором смутить и он ему какой нибудь MalwareGen припишет.
                                                                                    Если в Comodo этого не знают, то они вообще по видимому оторванные от реальности.
                                                                                      0
                                                                                      Это ложное срабатывание на URL, а не на программу. Основанием для отзыва может быть подпись вредоносной программы, а не способов её распространения.
                                                                                        +2
                                                                                        Тем более, не вникает, что там и как этот VT проверяет. Та даже если он один из 67 проругался бы на саму программу, то это говорило бы скорее всего о некомпетентности разработчиков антивируса, которые действуют по принципу «а вдруг угадаем», но не о том, что с программой что-то не так…
                                                                              +5
                                                                              В Европе, Америке обычно иначе, вы должны доказать что НЕ виновны.


                                                                              Вообще-то нет, это вызывающе неверная информация. В европейском континентальном уголовном праве (а на нем базируется и постсоветские кодексы) презумпция невиновности вообще краеугольный камень юриспруденции, в англосаксонском этот принцип выражен не так явно и опирается на конкретные прецеденты решений судей и комментарии судейских комиссий, но суть не меняется:

                                                                              Доказательство фактов и обстоятельств для того, чтобы служить основанием обвинительного приговора, должно быть с ним в полном согласии и не только указывать на виновность обвиняемого, но должно, кроме того, быть несовместимым с его невиновностью

                                                                              — Нью-Йоркский суд общих сессий, 1921 г.
                                                                                –6

                                                                                Это все лирика, клиент добровольно подрисал договор разрешающий отозвать и не обьяснить. Оснований для суда — нет

                                                                                  +4
                                                                                  Ну так вы же сами оправдываете корпоративные действия, ссылаясь на несуществующие правовые нормы, а потом называете это лирикой. Где логика?
                                                                                    –4

                                                                                    А пока мы не признаем что Комодо прохиндеи наша логика вообще никого тут не устроит. У сообщества уже есть решение, есть виновный и смысл чтото обратное доказывать.

                                                                                      –1

                                                                                      Ибо завтра автор пропадет с отчетом VirusTotal и все забудут и пойдут дальше оставив свое негативное мнение о всей ситуации

                                                                                        +1
                                                                                        Если никто не будет ставить палки в колёса и по просьбе заинтересованных людей удалять статью, автор не пропадёт. И если VirusTotal пришлёт ответ, каким бы он ни был, я его опубликую. Но могут и не ответить, это уже не от меня зависит. Со своей стороны мне бояться нечего, я уверен в своей честности.
                                                                                          0
                                                                                          Можно попробовать позагружать исполняемые файлы своих программ на VirusTotal и посмотреть на реакцию — действительно ли они вызывают срабатывание антивирусов. Какие именно вызывают? Каких именно антивирусов? Может, вообще таких срабатываний не было, и вся версия про VirusTotal высосана из пальца…
                                                                          +7

                                                                          Я не автор статьи, но ваш комментарий не мог меня оставить равнодушным.


                                                                          а на какой срок вы заказывали сертификат? На 1 год?

                                                                          В статье было явно указано — 3 года


                                                                          вы потеряли около 30 дней. Рыночная стоимость 80$ в год (80/12=6$), именно эту сумму вы потеряли

                                                                          Вы это серьезно? Отзыв сертификата — это серьезные репутационные и финансовые (если проект был монетизирован) потери для владельца.


                                                                          Только что пробовали скачать и установить ваш софт, но сертификат не действителен, что говорит в пользу того, что другие центры не спешат выдавать вам сертификат. Никого не обвиняем, но это сухие факты.

                                                                          Нет, это как раз завуалированное обвинение. Даже со стороны выглядит очень мерзко.


                                                                          А теперь в целом — даже если автор статьи умышленно или неумышленно распространял малварь — вместо того, чтобы предоставить доказательства вы пользуетесь тактикой FUD, голословно втаптывая автора в грязь. Если прямо сейчас у вас нет доказательств — нейтральные ответы "мы разбираемся" были бы намного уместнее того, что вы тут развели.

                                                                    +20
                                                                    поверьте, 99% что отозвали справедливо

                                                                    Как говорит один известный блогер — «по вопросам веры надо обращаться в церковь».
                                                                    Не о какой вере на слово не может идти речи, тем более когда вопрос касается денег и репутации.
                                                                    Фактически Comodo обвинила человека в написании вирусов/троянов/малварей и т.д., но при этом не предоставила никаких доказательств.
                                                                    Прямо что-то очень знакомое, только в более глобальных масштабах. Видимо это входит в моду…
                                                                      +2

                                                                      А это как с Digital Ocean. Компания не может и не хочет следить за активностью каждого конкретного клиента, поэтому проверка на сомнительность видимо как-то автоматизирована. И если автоматика сработает, то, если у клиента нет возможности собрать достаточный медийный шум, саппорт будет писать "да, вас заблокировали, нет, причины не раскрываем". И вот это как раз проблема.

                                                                      +5
                                                                      Копия ключа есть только у Comodo, потому что они выдают их без CSR.

                                                                      А это бич и наших аккредитованных УЦ, которые фактически отказываются выдавать сертификаты по подписанному запросу (CSR) и навязывают генерацию ключевой пары и запроса у себя в УЦ. А потом квартиры пропадают.

                                                                        +1
                                                                        У центра ключа нет никогда. При CodeSigning, CSR/KEY генерируются в самом браузере во время заказа, после прохождения проверки и выдачи сертификата, вы экспортируете сертификат и ключ из вашего браузера. К примеру вот как это делается
                                                                        support.sectigo.com/Com_KnowledgeDetailPageFaq?Id=kA01N000000zFJs

                                                                        Кстати, для CodeSigning EV ключ вообще высылается почтой на флешке
                                                                          –1
                                                                          Кстати, для CodeSigning EV ключ вообще высылается почтой на флешке

                                                                          Бери кто хочешь!


                                                                          вы экспортируете сертификат и ключ из вашего браузера.

                                                                          А почему ключ не создать, например, на токене PKCS#11 с неизвлекаемым ключом? И зачем УЦ эта головная боль с закрытым ключом?

                                                                            0
                                                                            Вас никто не заставляет покупать именно такой сертификат. Не нравится, купите у любого другого центра сертификации (ЦС). Отсыслка ключа по USB требование Microsoft, а не ЦС так как данные сертификаты получают доверие Smart Screen технологии.

                                                                            «Бери кто хочешь!»
                                                                            // Ключ без сертификата — ничто, ну а если клиент умудрился потерять и USB ключ и сам сертификат, которые отсылаются разными методами, то поможет только лоботомия. К Вашему сведению, банки высылают почтой кредитные карты, и следующим письмом сам PIN, и это не вызывает никаких проблем во всем мире.

                                                                              0
                                                                              // Ключ без сертификата — ничто,

                                                                              Это как? Сертификат вещь публичная. Поэтому что значит его потерять? Он на УЦ есть в списке выпущенных. А вот сертификат без закрытого ключа — это хромая утка: ничего нельзя подписать. И ни дай бог он попадет к нехорошему человеку, то вы останетесь без квартиры. Для этого на на УЦ (или как вы употребляете выражение Центр Сертификации) и существует механизм отзыва сертификатов. Именно об этом механизме и идет речь в статье.
                                                                              А то что вы пишете про банки это не работа с сертификатами и электронной подписью, это немного другое, хотя тоже криптография!

                                                                        +2
                                                                        Копия ключа есть только у Comodo, потому что они выдают их без CSR

                                                                        У того же StartSSL был выбор, или залить CSR, или генерация у них. У Comodo серьезно нет возможности получить сертификат по CSR? Или может это у реселлеров такие глупости?
                                                                          +4
                                                                          Ваша проблема начинается с того, что в приведенных фрагментах общения вы, судя по всему, ни разу не общались с живым человеком. 99.95% вероятности, что отвечал вам бот. Бот там поставлен как раз для того, чтобы не пропустить вас к живому человеку.
                                                                          Проблема в том, что и ваши вопросы боту — слишком похожи на поведение бота…
                                                                          Мой вам совет — позвоните им по телефону. (сейчас через всякие VoIP гейты можно звонить куда угодно почти бесплатно). Но сначала — тщательно изучите всякие полиси, что вам прислали при покупке, контракты, договора и т.п. Там должно быть прописано много всякого интересного. Если сразу долбить техподдержку легализом на предмет нарушения контрактных обязательств и исков в соответствующий суд (особенно если вы знаете, суд какой юрисдикции в какой стране согласно вашего контракта занимается решением проблем) — вас очень быстро переключат на человека, который имеет полономочия решить вашу проблему.
                                                                          (я даже не говорю про мелочь, что бот, с которым вы до сих пор общались, условно бесплатный. А живому человеку в техподдержке — надо зарплату платить! Любое общение с живым человеком — дешевле вернуть деньги, чем затягивать.)
                                                                            +1
                                                                            Наоборот, я ни разу не общался с ботом, у них в чате живые люди, отличать умею. По телефону звонил, ответ был тот же. Там не такие суммы, чтобы был смысл заморачиваться с судом, однако на первом месте должно быть доказательство, тогда сразу станет ясно, кто виноват и что делать. А когда они безапелляционно считают себя правыми и все должны молча согласиться, это никуда не годится.
                                                                              –8
                                                                              Igor_O — очень мудро вам ответил. Продублируем свой ответ:

                                                                              А когда они безапелляционно считают себя правыми и все должны молча согласиться, это никуда не годится.


                                                                              Читаем… Пункт 3. Отзыв. Comodo может отозвать сертификат, если Comodo считает, что:
                                                                              Абонент запросил отзыв сертификата или не санкционировал выдачу сертификата;
                                                                              Подписчик нарушил это соглашение;
                                                                              Конфиденциальная информация, связанная с Сертификатом, была раскрыта или скомпрометирована;
                                                                              Сертификат был 1) неправомерно использован, 2) использован вопреки закону, правилу или постановлению или 3) использован прямо или косвенно в незаконных или мошеннических целях;
                                                                              информация в сертификате является неточной или вводящей в заблуждение,
                                                                              Сертификат не был выдан или использован в соответствии с CPS Comodo, отраслевыми стандартами или, для сертификатов EV, Руководствами по EV;
                                                                              Comodo 1) прекратил свою деятельность или 2) больше не имеет права выдавать сертификат, и никакой другой центр сертификации не согласился предоставить поддержку отзыва для сертификата;
                                                                              Абонент добавляется как запрещенная сторона или запрещенное лицо в черный список или работает из запрещенного места назначения в соответствии с законодательством юрисдикции Comodo;
                                                                              Сертификат был выдан издателям вредоносного программного обеспечения;
                                                                              CPS разрешает отзыв сертификата;
                                                                              это соглашение прекращается; или же
                                                                              Сертификат, если его не отозвать, поставит под угрозу статус доверия Comodo.

                                                                              После отзыва сертификата Comodo может по своему усмотрению переиздать сертификат подписчику или расторгнуть соглашение."

                                                                              Вопрос 1: О каком тогда мошенничестве идет речь, если клиент подписался и согласился с правилами?
                                                                                +10
                                                                                Как я уже упомянул выше, мошенничеством это можно назвать потому что:

                                                                                — не был назван конкретный пункт правил, который был нарушен;
                                                                                — не было приведено доказательство, что он нарушен.

                                                                                Получая права на вождение, вы соглашаетесь соблюдать ПДД и соглашаетесь нести ответственность за их нарушение. Вас останавливает дорожный инспектор и отбирает права, ссылаясь на то что вы «нарушили ПДД» — вот примерно так поступили в Comodo. А с учётом озвученной выше причины, инспектор объяснил свои действия как «Вася Пупкин говорит что видел как вы, кажется, превысили скорость».

                                                                                  –5
                                                                                  не был назван конкретный пункт правил, который был нарушен;
                                                                                  не было приведено доказательство, что он нарушен.


                                                                                  1) при первом же обращении клиенту сказали что сертификат был отозван из-за: malware/fraud/phishing, значит причина названа, пункт соглашение 3.4 «Сертификат был 1) неправомерно использован, 2) использован вопреки закону, правилу или постановлению или 3) использован прямо или косвенно в незаконных или мошеннических целях;»

                                                                                  2) Доказательства: «Проверка баз данных, таких как Virustotal, подтвердила, что большое количество антивирусных программ сообщили, что программное обеспечение является вредоносным, и подписали его сертификатом Sectigo, поэтому мы отозвали этот сертификат.» Более детальный ответ клиент должен получить у своего реселлера или же в Virustotal
                                                                                    +4
                                                                                    Это не доказательство, а частное мнение. Причиной отзыва (даже не доказательством) можно считать ссылку на virustotal, где мы увидим имя файла и статистику по конкретным антивирусам, у которых тоже разный рейтинг доверия. Только после этого будет видно, что это на самом деле — ложное срабатывание или что-то другое. А бездоказательное мнение ничем не отличается от отмазок в чате.
                                                                                      –1

                                                                                      Вы заказали сертификат на юридическое или физическое лицо? Если юридическое то ИП или полноценное ООО?

                                                                                        0
                                                                                        Физическое, потому что программы бесплатные и не хочется привязываться к ИП. Хотя использую их в своей работе, с которой плачу налоги, как и многие другие люди, кто их использует.
                                                                                          –2

                                                                                          Отсюда и более низкий рейтинг доверия, как со стороны центра так и антивирусов

                                                                                            0
                                                                                            На ИП был бы выдан точно такой же не-EV сертификат. А как вы определили рейтинг доверия со стороны антивирусов? Во-первых антивирусы должны учитывать сертификат в дополнение к основной проверке файла специалистами, а не вместо такой проверки, т. е. любой валидный сертификат не может понизить уровень доверия антивирусов по сравнению с неподписанным файлом. Во-вторых я стараюсь делать программы так, чтобы они не вызывали ложных срабатываний и virustotal был чистым. Мне не известно ни одной своей программы, которая вызывала бы многочисленные срабатывания на virustotal.
                                                                                      +7
                                                                                      Если VirusTotal не упомянут как возможное основание для определения статуса «malware», то грош ему цена, и доказательством это быть не может (чисто формально).

                                                                                      Я не юрист, но думаю любой суд с этим согласится — для того чтобы что-то признать malware, нужно доказать как минимум намерение и функциональность, чего явно нет в случае софта автора, а экспертной оценки явно не проводилось.

                                                                                      Эдак и Task Scheduler можно malware обозвать — там же можно создать task который файлы будет удалять, без явного действия пользователя.
                                                                                        –6

                                                                                        Наше мнение такое, центр обязан доказать вину, но только в том случае если предоставленные факты, не помогут злоумышленникам подстроиться под эти факты и создавать более успешные атаки. Для этого и существуют откровенные лазейки в договораз, чтобы умалчивать причины. Да, для конкретного клиента это может и будет выглядеть как кидалово и обман, но в перспективе безопасности всех пользователей можно принебрегать репутациец

                                                                                    –10
                                                                                    Последнее что скажем, в РФ вы привыкли к законам, что государтсвенный обвинитель (прокурор) должен доказать вину. В Европе, Америке обычно иначе, вы должны доказать что НЕ виновны. Другое правовое поле, другие правила. Сертификат выдан не в РФ, это нужно помнить.
                                                                                      +8
                                                                                      В таком случае вы виновны в убийстве и должны доказать, что никого не убивали? Нельзя доказать отсутствие чего-либо, это элементарная логическая ошибка.
                                                                                        +1
                                                                                        Даже не так, ты должен доказать что не виновен, правда ты не сможешь этого сделать, потому что даже не знаешь в чем тебя обвиняют.
                                                                                          –5

                                                                                          Почему же? Клиенту сказали, что доверенный сторонний сервис имеет претензии к софту. Комодо безприкословно и слепо доверяют сервису, а договор с клиентом позволяет отозвать сертификат, без доказательств и даже при ошибках VirusTotal. Если претензий к деятельности VirusTotal будет много, то вероятно центр сертификации заменит их

                                                                                            +2
                                                                                            Понятно что в целом Comodo не интересно происходящее, конкретный человек, по сути, даже не их клиент, а непосредственного клиента(реселлера) все устраивает. Но ситуация получается такая, что кто-то где-то решил что он может быть виновен, отозвали сертификат и даже не дают возможности доказать свою правоту(и фиг бы с ними с 80$, но ведь он не сможет и в другом месте сертификат получить теперь), так как не идут на диалог. Человек даже не может написать в VirusTotal о false positive, так как нет хоть какого-то объяснения о произошедшем(не понятно о чем писать).
                                                                                              –2

                                                                                              Заказать в другом месте может, но если в Virustotal будет отметка, то тоже откажут. Придется решать именно с ними. Либо искать центр который не дорожит репутацией. Тут все на доверии, браузеры доверяют центрам, доверяют методам проверки и контроля, если перестанут доверять, центр перестает существовать

                                                                                                +1
                                                                                                Вот проблема как раз в том что все на доверии, а должно быть документально подтверждено. Как пример, сами же эти сертификаты, которые как раз и существуют чтобы не было «на доверии». И в данном случае к Comodo как раз нет доверия, потому что их автоматический(уверен на 95%) скрипт решил что нужно забанить пользователя, а сами теперь, видимо, и объяснить не могут что не так, потому что у самих нет подробностей.
                                                                                                  –2

                                                                                                  Комодо отозвали сертификат по данным агрегатора. Точка. Комодо доверяют эти данным и это их право. Точка. Чтобы переубедить центр клиент должен разбираться с агрегатором, нравится ему это или нет, но чтобы получить новый сертификат это его обязанность. Комодо говорит, хочешь новый р реши проблемы с антивирусами.

                                                                                                    +3
                                                                                                    Да, но только Комодо не говорит сопутствующей информации, с которой можно пойти к VirusTotal и разобраться в произошедшем. Нельзя позвонить/написать в VirusTotal и сказать «у меня есть проблема, я правда не знаю какая и с чем, но нужно что-то делать».
                                                                                                      –4
                                                                                                      Итак, хотели факты, извольте, господа хорошие :)

                                                                                                      1) Идем на сайт www.virustotal.com/gui/home/url

                                                                                                      2) Вводим сайт автора simplix.info
                                                                                                      www.screencast.com/t/ZzLUgir6Hd

                                                                                                      3) получаем результат
                                                                                                      www.screencast.com/t/kb1KyYnt
                                                                                                      Avira сообщает об Malware

                                                                                                      4) Идем далее, ищем через поисковик
                                                                                                      www.virustotal.com/gui/home/search
                                                                                                      www.screencast.com/t/SE4L1VBpMex

                                                                                                      5) Закладка Relations
                                                                                                      www.screencast.com/t/SgIeqLwf4rzB
                                                                                                      www.screencast.com/t/NonIZlEni

                                                                                                      Два десятка отметок по этому софту, многие из которых реальные подписанные EXE файлы. Иными словами, данный разработчкик не просто случайно попал в эту базу, а регулярный, практически на каждый релиз версии есть запись.

                                                                                                      Информация публична и доступна любому желающему.
                                                                                                        +3
                                                                                                        Я правильно понимаю, что одно false positive для вас достаточный повод отозвать сертификат?
                                                                                                        нет там никаких двух десятков, только по одному срабатыванию на файл. Мало ли кто на них ссылается, так ведь можно конурентам гадить.

                                                                                                        Вы, похоже, совсем не в курсе, как работают антивирусы. Там всё тоже самое, что и у вас. Ложные срабатывание, отсутствие обратной связи, если ты мелочь.
                                                                                                        Если не мелочь, то у моих партнёров есть целый юрист исключительно для бодания с антивирусами.

                                                                                                        Антивирусы такие же как вы и ждать корректной работы от них нельзя.
                                                                                                        В итоге одно срабатывание это на 100% false positive. Сделать так, чтобы всё время было 100% чистота файлов практически невозможно.

                                                                                                        И если вам достаточно одного срабатывания, то от вас стоит держаться подальше. А я как раз подбираил подпись…
                                                                                                          +1
                                                                                                          Обратите внимание, что это не срабатывание на файл. habr.com/ru/post/455236/#comment_20260977
                                                                                                            –3

                                                                                                            ;) удачи всем

                                                                                                              –2

                                                                                                              Наш личный совет это выбирать либо Thawte, либо Symantec, у них лучше валидация для РФ и лучшая мульти-язычная поддержка, но правила по отзыву едины. Заказывать оучше на год, максимум 2

                                                                                                                +1
                                                                                                                Проблем с оформлением на компании нет, и я вас уверяю, на вирустотале постоянно что-то срабатывает, даже до 10 ложных срабатываний бывает (для того и нужен отдельный юрист, т.к. иначе пробить стенку игнора не выходит) и ни разу ни одного сертификата не отозвали по такой причине.

                                                                                                                А мне же надо, как и автору статьи, на физлицо для личных небольших проектов, при этом не хочется платить за воздух сотни долларов, а Thawte и Symantec перестали выпускать такие сертификаты.
                                                                                                                  –1

                                                                                                                  Верно, физ.лицам только Комодо и выдают. Вот такой можем продать за 45$ в год, выдача через Sectigo.

                                                                                                                    0
                                                                                                                    что-то я таких цен не вижу. $179 на сайте sectigo и $82 на вашем. И ни слова про физлиц.
                                                                                                                      –1
                                                                                                                      1) Заполните форму
                                                                                                                      www.gogetssl.com/reseller-program

                                                                                                                      2) укажите в комментарии ABYSS HABR, и мы создадим учетную запись с ценой в 45 за год. Поддержка физ. лиц есть
                                                                                        +1
                                                                                        О каком тогда мошенничестве идет речь, если клиент подписался и согласился с правилами?

                                                                                        Правила тоже не в граните отлиты и если они приводят к таким случаям, где клиента (за его же деньги) не считают нужным уведомить с полной доказательной базой, то такие правила нужно менять. Причем не важно, кто в этой цепочке виноват — сам Comodo, или его представитель, т.к. результат пока очевиден — нет смысла ставить свой бизнес под угрозу сертификатов от этой компании.
                                                                                          –1

                                                                                          Тогда удачи с другими центрами, там теже правила ибо они продиктованы через CA/b forum, на котором собрались все центры и утвердили все эти правила. Это не личное желание Комодо, это глобальные методы и решения

                                                                                  +1
                                                                                  Вот из того что я вижу на сайте автора: наборы обновлений винды не от микрософта, нечто типа альтернативаного антивируса\фиксера, отключение любимой жены вешеозначенного микрософта — обновлений вин 10, сброс паролей, вмешательства в кернил…
                                                                                  Ну как бы может там фраудов и нет (если микрософт с этим согласен), но вот их признаков для чего-то автоматически проверяющего должно быть предостаточно.
                                                                                    +1

                                                                                    Признаки не доказательства. Потому автоматически проверяющее должно лишь призывать уделить внимание кого-то не автоматического. И уж точно не выносить вердикты на основе своих ничем не подкрепленные подозрений.
                                                                                    Плохо видите, кстати. Наборы обновлений там как раз от мелкософта, только упакованы в свою оболочку и ставятся штатными методами. Это о том, как легко ошибиться если не вникать, а судить поверхностно. Автор имеет весьма положительную репутацию у знающих людей.

                                                                                    +3
                                                                                    Копия ключа есть только у Comodo, потому что они выдают их без CSR.

                                                                                    Я бы за такое вообще убивал. Причём обе стороны. Т.к. это «действо» вообще противоречит самой идеи PKI, цепи доверия и т.п.
                                                                                      –2

                                                                                      Вот это и надо объяснить Минкомсвязи и нашим УЦ!!

                                                                                      +3
                                                                                      Вы не проверяли все свои сборки на VirusTotal? Некоторый софт часто оказывается в категории «unwanted» или типа того, после чего начинает убиваться рядом антивирусов.

                                                                                      К примеру, многие утилиты Нира Софера (NirSoft) оказываются в этой категории. Вероятно, что-то подобное могло случится и у вас, кто-то настучал и в Comodo среагировали без углубления в детали.
                                                                                        +3
                                                                                        Я глянул список программ автора — стало почти все понятно.
                                                                                        Утилиту, которая отключает автоапдейт в винде, уж MS так точно посчитает вредоносной.
                                                                                        А учитывая влияние этой компании на центры сертификации, все остальное становится несколько предсказуемым.
                                                                                        Короче говоря, мой прогноз — автор не выиграет этот батл.
                                                                                        Хотя, лично я целиком и полностью на его стороне.
                                                                                          +3
                                                                                          Утилиту, которая отключает автоапдейт в винде, уж MS так точно посчитает вредоносной.
                                                                                          Вы правда считаете редактор групповой политики вредоносным? :)
                                                                                            –1
                                                                                            Вы правда считаете меня представителем MS?
                                                                                              +1
                                                                                              Вы говорите об утилите, которая является частью ОС.
                                                                                          0
                                                                                          На VirusTotal у меня C# обфусцированная утилита теперь сразу определяется рядом странных антивирусов как подозрительная. А спустя некоторое время присваивают уже конкретное имя вируса. К чести брэндов типа касперского или windows defender, они в таком не замечены. Потом может руки дойдут определить что именно в моем довольно безобидном коде вызывает такое яростное срабатывание. А пока секурщики ворча вынуждены добавлять хэш в список исключений.
                                                                                          Забыл упомянуть, что утилита подписана нашим внутренним сертификатом, отчего процент срабатывания ВирусТотал снижается, но не надолго. Если же это был бы внешний сертификат, то логично было бы предположить что отзыв вполне вероятен за «злостное вирусописательство»
                                                                                            0
                                                                                            Антивирусники вообще как то плохо дружат с .Net. Довольно часто программа не делающая ничего потенциально опасного или вредного и без обфускации собирает на Virustotal до десятка детектов, а обфусцированная даже пустая форма практически всегда вызовет детекты.
                                                                                            +7
                                                                                            > Могли ли вы представить себе, что крупная компания будет заниматься обманом своих клиентов

                                                                                            Да. Я уж не помню когда было бы иначе.
                                                                                              0
                                                                                              Вставлю 5 копеек. Насколько я знаю правила PayPal — гарантию возврата средств на ПО, электронные книги и так далее они не предоставляют.
                                                                                                0

                                                                                                Сочувствую.
                                                                                                Как вариант использовать сторонних поставщиков CodeSign:
                                                                                                https://habr.com/ru/post/242267/
                                                                                                https://habr.com/ru/post/321462/

                                                                                                  +1
                                                                                                  Недавно было исследование подписанной малвари на virustotal, в котором выявили 1775 образцов от COMODO, в конце есть ссылка на хеши. В ответ Comodo/Sectigo устроили зачистку. Может быть вы попали под раздачу.
                                                                                                    +3
                                                                                                    Большие компании в основном так сейчас все работают, на запросы не отвечают и все отдано на откуп ИИ (привет разработчикам). Адекватные люди в техподдержке денег стоят, особенно если их нужно не два-три, а пару десятков тысяч. Плюс обучение. А так намного проще — аккаунт заблокировал Facebook или Google и прислали ссылку на общие правила — сиди читай и конкретики никакой, что как и почему. Аналогично сертификат. Если они по 400.000 в день выпускают, то однозначно руками никто проверять не будет.
                                                                                                      +1
                                                                                                      ИМХО, одна из самых больших проблем в том, что пользователи позволяют компаниям иметь себя во всех проекциях. Понятие «сообщества» пользователей почти умерло, пользователи постоянно сидят и думают «Ну, это произойдет не со мной, зачем что-то делать?», а когда происходит что-то: бан аккаунта, отзыв сертификата, закрытие канала, утечка данных или взлома (например, если вспомнить недавнюю историю с «атакой на порт сим-карты»), то уже этот пользователь орет, а окружающие думают «Ого, вот что бывает, хорошо, что не со мной, пойду поем.» В этом случае компаниями реально выгоднее и дешевле наплевать на лохов, ведь они ничего не сделают, поноют в Твиттере и заткнутся.
                                                                                                        0
                                                                                                        Сообщества есть, но большие компании на них не очень обращают внимание, у больших компаний больной мозоль — многомиллионные штрафы в ЕС и США, это и только это заставляет их хоть немного шевелиться.
                                                                                                          0
                                                                                                          Регуляторы — это довольно неплохо, но недостаточно. Я склоняюсь к тому, что сообществ особо нет, так как почти никогда не используется самое мощное оружие пользователей — уход. Если компания начинает охреневать, то уход 10% пользователей к конкурентам (которые будут довольно рады этому, поэтому можно расчитывать даже на какое-то удобство) заставит ее как минимум подумать над своей политикой (или просто вышвырнуть менеджеров/безопасников/разработчиков, что тоже неплохо в ряде случаев). К сожалению, возникает определённый вопрос удобства: уходить к другой компании сложнее, чем сидеть в комментариях и писать «ну и мрази же, как им не стыдно, пойду продлю подписку на этот сервис.» Но, имхо, это один из немногих способов защиты отдельных людей от ситуаций, в которых их называют лохами и говорят, что с этим нужно смириться, вот автоматически отправленное письмо со ссылкой на правила. Компании (а особенно некоторые продавцы воздуха) пытаются построить инфраструктуру, в которой бесправный пользователь (он пользователь, даже не клиент) должен делать кучу всего и тратить деньги прямо или косвенно, пока владельцы этих компаний важно кивают головой и говорят «Да, наш сервис очень важен и нужен, без него вообще никак.»
                                                                                                      0
                                                                                                      Simplix, а зачем вы устанавливаете свой сертификат в качестве корневого на конечные системы пользователей без их согласия? Может кто-то подал жалобу, вот ваш сертификат и тю-тю. Я правда не знаю, как у вас с этим дела обстоят сейчас, но ~ 2-3 года назад, ваш софт делал именно так.
                                                                                                        0
                                                                                                        Не устанавливаю, у вас устаревшая информация. Больше трёх лет назад я так делал с некоторыми программами, чтобы не платить за воздух, для проверки целостности (ничего вредоносного), однако начиная с 2016 мне понадобился сертификат и с тех пор им подписываются и программы.
                                                                                                          0
                                                                                                          Мда уж, примерно в то же время хотел также покупать серт у Comodo, но жаба задавила. Видно, не зря. Вообщем, сочувствую. А так то давно уже принял за правило каждый раз перед релизом заливать на VT и рассылать в вирлабы вплоть до задержки самого релиза. Проблема в том, что некоторые вирлабы либо слишком заняты, либо вообще не отвечают простым смертным.
                                                                                                        0
                                                                                                        simplix так как компания в США, проще было вызвонить их чем списаться в тикетах, причем звонить нужно и сразу просить следующий уровень поддержки ибо на первом вам все так же скажут «Ваш сертификат отозван потому что выше так сказали». Скорее всего вы бы получили ответ раньше и более развернутый.

                                                                                                        Кстати говоря о сертификатах, один из моих фриленс клиентов, по его словам не хочет связываться с оформлением подписи на себя и просит сделать все с нашей стороны, а он заплатит. Получается в этой ситуации я рискую только тем сертификат может быть отозван?
                                                                                                          +1
                                                                                                          Я бы не советовал делать подпись на ваше имя. Мы работаем с афилятами, раньше подписывали и нашей подписью, сейчас всегда только их. Проблема в том, что их невозможно полностью контролировать, а часть из них использует агрессивный маркетинг. В итоге в какой-то момент антивирусы начинают срабатывать уже на саму подпись, что вредило уже не только афиляту, а и нам и другим афилятам. Даже в таких случаях подпись не отзывали, я вообще не знаю случаев отзыва в нашей практике.
                                                                                                          Т.е. я бы сказал, что вам больше грозит попадание в чёрные списки как антивирусов, так и выдавальщиков сертификатов.
                                                                                                          Процедура получения сертификата не так уж и сложно, и нежелание самим оформлять выглядит так, что они уже наследили.
                                                                                                            +4
                                                                                                            Выше я уже писал, что звонил — на этом настоял один из операторов в чате, у меня был не один сеанс. На мои возражения, что по телефону они никак не продиктуют ссылку на virustotal, он всё равно настаивал, что нужно только звонить. Конец немного предсказуем — по телефону мне ответили то же самое, что и в чате, а на просьбу предоставить ссылку снова отправили писать тикет, на который вместо доказательства опять ответили шаблонной фразой. Может рядовые операторы и сами не имеют доступа к доказательствам, может у них в инструкции написано прикидываться деревом, но мне как клиенту от этого не легче. Comodo даже своему партнёру gogetssl не предоставил доказательства, что говорит об отношении в целом. На самом деле нет никакой причины не предоставлять ссылку на файл с вирусом, это не секретная информация, так клиент во-первых сможет понять, за что отозвали сертификат, во-вторых найти у себя конкретную программу и разобраться, на что именно идёт срабатывание, и в-третьих возразить, если сертификат отозван по ошибке и вредоносного ПО на самом деле не было. Изначально отказываясь вести адекватный диалог они сами создают себе соответствующую репутацию.
                                                                                                              –6
                                                                                                              Comodo даже своему партнёру gogetssl не предоставил доказательства, что говорит об отношении в целом

                                                                                                              Это не соответсвует действительности. 8 июня 2019 в 11:23 мы предоставили ответ о причине отзыва от высшего звена в компании Comodo, где прозрачно сообщили о причине отзыва. www.screencast.com/t/kzb1sf8cHKh

                                                                                                              8 июня 2019 в 18:21 мы предоставили ссылки на VirusTotal в которых указана проблема выявленная антивирусом Avira
                                                                                                                +5
                                                                                                                Только вот, как выяснилось, к собственно сертификату эта проблема не имеет никакого отношения. Вообще удивительно, почему продавая, по сути, воздух, компания не может нанять квалифицированных специалистов для анализа подобных ситуаций.
                                                                                                                  +1

                                                                                                                  VT — всего лишь агрегатор, мало ли какая паранойя у какого-нибудь антивирусишки.
                                                                                                                  С таким же успехом можно и вас обвинить в чем угодно сославшись на какой-нибудь комментарий в сети. Вы упорно не в состоянии понять ситуацию. Представьте, что ваша софтинка лежит на некоем агрегаторе всякого софтохлама, который вдруг даёт срабатывание у некоего антивиря. Ещё раз — срабатывание на сайт в общем, не какой-то софт на нем, а, например, скрипты не понравились. И теперь волчий билет получает весь софт лежащий там, включая ваш. Спрашивается, а при чем сертификаты софта? У вас же получается, если ты зашёл в гей-бар, то сразу стал альтернативно-сексуальным.

                                                                                                              +3
                                                                                                              Получил ответ от CodeSignCert с тем самым хешем и это оказалось ложное срабатывание. Обновил статью с указанием подробностей. gogetssl, вы готовы сдержать слово (я за язык не тянул), или требуются какие-то дополнительные процедуры для того, чтобы подтвердить ложное срабатывание?
                                                                                                                –4
                                                                                                                Мы от слов не откажемся никогда. Да, нужны данные о ложном срабатывании, чтобы мы могли их предоставить в Comodo для внутреннего анализа и проверки, и тогда сможем предоставить то о чем говорили.

                                                                                                                Моя оценка ситуации:
                                                                                                                С уверенностью могу сказать, что это ложное срабатывание. Признаки:

                                                                                                                Обозначение Generic в большинстве срабатываний.
                                                                                                                Отсутствие срабатываний у антивирусных лидеров.


                                                                                                                на данном этапе это ваше мнение что ложное срабатываение. Нужно подтверждение от VirusTotal или же от Alvira.
                                                                                                                  +4
                                                                                                                  habr.com/post/455236/#comment_20263597
                                                                                                                  Avira к этой ситуации вообще никаким боком не относится. VirusTotal только агрегатор, и если у них нет кнопки «сообщить всем о ложном срабатывании», то единственный вариант — писать об этом каждому антивирусу, что я и сделал. К сожалению многие из них совсем не продумали обратную связь или аплоад, не у всех даже почта рабочая, поэтому ждать ответа от некоторых будем очень долго.
                                                                                                                  О ложном срабатывании также говорит и то, что файлу почти год, а срабатывание на него появилось только сейчас. Более того, у Comodo есть свой антивирус, который на VirusTotal рапортует о чистоте файла, и есть свои эксперты для вынесения вердикта в таком серьёзном деле, но их не задействовали. Надеюсь этот случай станет для Comodo поводом улучшить свой сервис, ведь аналитики других антивирусов не ленятся вручную исследовать файлы для повышения качества своих продуктов.
                                                                                                                    –4
                                                                                                                    Avira к этой ситуации вообще никаким боком не относится.

                                                                                                                    Это как так? Их антивирус справедливо или нет пометил ваш софт как malware. Поэтому пока они не пересмотрят свое решение развитие ситуации в позитивное русло невозможно. С большой долей вероятности и другие центра откажут в выдаче по той же самой причине. Нравится вам это или нет, но в ваших интересах урегулировать с ними разногласия. www.screencast.com/t/kb1KyYnt

                                                                                                                    Comodo есть свой антивирус, который на VirusTotal рапортует о чистоте

                                                                                                                    Антивирус может выявить проблемы только если он установлен. Comodo не распространен в странах СНГ. Для того чтобы софт попал в зону действия большого кол-во антивирусов он должен быть популярен и установлен на большое кол-во ПК с разными антвирусами.

                                                                                                                    Надеюсь этот случай станет для Comodo поводом улучшить свой сервис

                                                                                                                    На данный момент это не требуется. Их сервис выдал сертификат, и отозвал при появлении информации о Malware. На сегодняшний день, вы не предоставили фактов о ложном срабатывании.

                                                                                                                    irusTotal только агрегатор, и если у них нет кнопки «сообщить всем о ложном срабатывании», то единственный вариант — писать об этом каждому антивирусу,

                                                                                                                    Два дня назад мы предоставили вам совершенно адекватную форму с сайта Avira где есть прозрачная возможность подать файл к рассмотрению по причине ложного срабатывания.
                                                                                                                    analysis.avira.com/ru/submit
                                                                                                                    www.screencast.com/t/42EtgeNtIgm
                                                                                                                      +4
                                                                                                                      Их антивирус справедливо или нет пометил ваш софт как malware
                                                                                                                      Я уже десять раз написал об этом в комментариях и даже в ЛС написал пример, что же вы никак не разберётесь. На скриншоте представлено одно ложное срабатывание на сайт, это всего лишь источник распространения и он не имеет отношения к обсуждаемому сертификату. Даже если бы на сайте было 50 не ложных срабатываний, это не причина отзывать сертификат, которым подписаны программы на этом сайте, потому что это не доказывает связь между владельцем сайта и владельцем закрытого ключа сертификата. Неужели это так сложно понять?

                                                                                                                      Антивирус может выявить проблемы только если он установлен
                                                                                                                      Это не так, файл публичный и как только кто-нибудь загрузит его на virustotal, он сразу же попадает ко всем антивирусам. Или вы думаете, что пользователи всех этих заграничных антивирусов запускали мой файл? Да он им даром не нужен.

                                                                                                                      На сегодняшний день, вы не предоставили фактов о ложном срабатывании.
                                                                                                                      Пять антивирусов уже отозвали ложное срабатывание, как вам такой факт? Приставки Gen/Generic/susgen говорят о вероятностном срабатывании, это любому специалисту очевидно. Я уверен, что не все антивирусы уберут ложное срабатывание, такая специфика их работы, так что теперь, вы будете доказывать свою правоту, пока не останется ни одного ложного срабатывания?

                                                                                                                      Два дня назад мы предоставили вам совершенно адекватную форму с сайта Avira где есть прозрачная возможность подать файл к рассмотрению по причине ложного срабатывания.
                                                                                                                      Тогда же я и сообщил им о ложном срабатывании на сайт, а на файл он и так не ругался. Чтобы вам спокойно спалось, уже убрали и ложное срабатывание на сайт.
                                                                                                                        –4
                                                                                                                        Я уже десять раз написал об этом в комментариях и даже в ЛС написал пример, что же вы никак не разберётесь. На скриншоте представлено одно ложное срабатывание на сайт, это всего лишь источник распространения и он не имеет отношения к обсуждаемому сертификату. Даже если бы на сайте было 50 не ложных срабатываний, это не причина отзывать сертификат, которым подписаны программы на этом сайте, потому что это не доказывает связь между владельцем сайта и владельцем закрытого ключа сертификата. Неужели это так сложно понять?


                                                                                                                        Комодо это сложно понять, так же как Вам сложно понять что у них есть свои правила и точка. Вы придумали себе цифру в 50 ложных срабатываний, почему не 500? Центры сертификации решили что 1-го срабатывания достаточно, так работает индустрия, причем вся. Есть CA/B Forum, где собираются все центры, браузеры и решают как и что будет работать.

                                                                                                                        Пять антивирусов уже отозвали ложное срабатывание, как вам такой факт? Приставки Gen/Generic/susgen говорят о вероятностном срабатывании, это любому специалисту очевидно. Я уверен, что не все антивирусы уберут ложное срабатывание, такая специфика их работы, так что теперь, вы будете доказывать свою правоту, пока не останется ни одного ложного срабатывания?


                                                                                                                        Вы знаете, нам откровенно говоря почти всеравно, вы не наш клиент, а мы не Комодо. Все эти вопросы вам нужно адресовать продавцу и вендору. Вам кажется что все должно быть так как хочется вам, и искренне удивляетесь что весь мир не хочет подстроиться под вас.

                                                                                                                        И потом «Пять антивирусов уже отозвали ложное срабатывание», был же только 1, уже 5? :)

                                                                                                                        Тогда же я и сообщил им о ложном срабатывании на сайт, а на файл он и так не ругался. Чтобы вам спокойно спалось, уже убрали и ложное срабатывание на сайт.


                                                                                                                        Вы являетесь представителем Alvira? На каком основании вы принимаете решение о том что это ложное срабатывание? Не выдавайте желаемое за действительное.

                                                                                                                        Чтобы вам спокойно спалось, уже убрали и ложное срабатывание на сайт.

                                                                                                                        ненужно проецировать свои претензии на нас, мы вообще тут не причем.

                                                                                                                        П.С.
                                                                                                                        Информацию о снятии отметки Alvira, мы передали в Comodo. Надо ждать что они об этом скажут, но честно говоря эту всю работу должны делать те кто продал вас сертификат, а не мы. Нас тут уже загнобили и заклемили за все попытки вам помочь, что если честно не корректно. Банальной благодарности было бы достаточно, а уже на «мусорный» -11 рейтинг кармы можно закрыть глаза.
                                                                                                                          +3
                                                                                                                          Вы придумали себе цифру в 50 ложных срабатываний, почему не 500? Центры сертификации решили что 1-го срабатывания достаточно, так работает индустрия, причем вся.
                                                                                                                          Да хоть 5000, рейтинг сайта не имеет отношения к рейтингу файлов на нём. Отозвали сертификат за 17 срабатываний на файл, в шапке ссылка. А вот теперь я вас удивлю.

                                                                                                                          был же только 1, уже 5? :)
                                                                                                                          Один был на сайт, 17 было на файл. Уже 10 антивирусов исправили показания, все ссылки в шапке.

                                                                                                                          На каком основании вы принимаете решение о том что это ложное срабатывание?
                                                                                                                          На основании авторства, названий вирусов и антивирусов на virustotal, а также своего опыта. Если бы меня действительно взломали, на virustotal были другие названия и я сразу бы признал свою ошибку. Но так как здесь ошибка не моя, я сразу сказал, что это ложное срабатывание. Хотите — проверяйте, только доверьте это экспертам, у вас не получается.

                                                                                                                          Нас тут уже загнобили и заклемили за все попытки вам помочь, что если честно не корректно.
                                                                                                                          Это не ко мне, я наоборот благодарен вам за попытку помочь, а минусуют вас за необъективность — сначала стали на сторону Comodo без доказательств, а когда появились доказательства не в пользу Comodo вы продолжили оправдывать их очевидный прокол. Здесь же технари собираются, они видят ситуацию без купюр.
                                                                                                                            –1
                                                                                                                            Уже 10 антивирусов исправили показания, все ссылки в шапке.

                                                                                                                            Уже 15 исправили. И 10 (Avira (no cloud), Comodo, Cylance, ESET-NOD32,
                                                                                                                            F-Secure, K7AntiVirus, K7GW, Microsoft, Rising, Webroot)
                                                                                                                            добавились.
                                                                                                                              –1
                                                                                                                              А почему ссылка удивлю и ссылка исправили, в шапке сообщении, разные? Не сразу заметил.
                                                                                                                                0
                                                                                                                                Посмотрите на подпись ссылки-удивлялки, это Avast и никто не спешит его отзывать. И здесь даже не ложное срабатывание, потому что Avast Driver Updater навязчиво что-то предлагает и закономерно в именах вирусов видно ApplicUnwnt (нежелательное приложение) от Comodo, Misleading (вводящий в заблуждение) от Microsoft, UwS (нежелательный софт) от ESET и так далее.
                                                                                                                                  0
                                                                                                                                  Ну то же Avast, они и в суд могут подать, если что не так…
                                                                                                                                  Примерно это тут и имел ввиду.
                                                                                                                                +1
                                                                                                                                Это не ко мне, я наоборот благодарен вам за попытку помочь, а минусуют вас за необъективность — сначала стали на сторону Comodo без доказательств, а когда появились доказательства не в пользу Comodo вы продолжили оправдывать их очевидный прокол. Здесь же технари собираются, они видят ситуацию без купюр.


                                                                                                                                :) Да, встали бы на вашу сторону, и все были бы счастливы, увы… пусть нас и дальше гнобят, но мы даже сейчас не видим проблемы. Комодо не сделали ничего неверного, когда у вас миллионы активных сертификатов невозможно все проверять самим, их правила таковы, что записи в VirusTotal достаточно, это их суверенное право, так как они подписывают сертификаты и заказывая сертификат, вы согласились со всеми правилами и должны им следовать, даже если они противоречат вашей логике, логике пользователей данного сайта и так далее… Правила таковы и все. В 10-й раз сообщаем, правила такие у всех центров.

                                                                                                                                Только что Комодо сообщили нам, что вы должны связаться с реселером у которого вы купили сертификат для дальнейших дискусий, мы же покидаем этот вопрос, ибо habr нам уже не разрешает писать чаще чем раз в час.

                                                                                                                                Удачи вам!
                                                                                                                                +2
                                                                                                                                Центры сертификации решили что 1-го срабатывания достаточно, так работает индустрия, причем вся.
                                                                                                                                Неправда. Откройте в virustotal сайт ti.com — там вообще Malicious висит. И ничего у них никто не отзывает.
                                                                                                                                Нас тут уже загнобили и заклемили за все попытки вам помочь
                                                                                                                                Скорее, за попытки (иногда выглядящие весьма агрессивно) оправдать некорректные действия Comodo.
                                                                                                                      +7
                                                                                                                      Это не случайность, это политика «Comodo». Путем несложного гугления можно найти еще нескольких пострадавших. Одному из них «higher officials» соизволили объяснить причину:

                                                                                                                      someone submitted one of our executables to virustotal.com [...] 5 of antivirus packages flagged our executable


                                                                                                                      There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.


                                                                                                                      Итог: банить сертификат только на основе того, что на «Вирустотале» появилось ложное срабатывание — это дно, и «Comodo», похоже, его достигло.
                                                                                                                        +2
                                                                                                                        У Comodo явные симптомы крупной компании — совершенно спокойное отношение к тому, что «лес рубят, щепки летят» и практически полное отсутствие поддержки рядовых клиентов. Что ж поделаешь. А вот быть клиентом gogetssl, судя по тому, что мы тут видим, похоже, действительно неразумно.
                                                                                                                          0
                                                                                                                          Обновил шапку последними новостями.
                                                                                                                          "Мы от слов не откажемся никогда", буду скучать по вашему юмору.
                                                                                                                            +3
                                                                                                                            CodeSignCert поставил практически невыполнимое условие — хотят чтобы VirusTotal был чист на 100% от любых срабатываний.

                                                                                                                            Хороший способ послать лесом в культурной форме и с улыбкой. Другого и не ожидал…
                                                                                                                            0