В конце мая я внезапно обнаружил, что мой сертификат был отозван. Поскольку вредоносные программы никогда не подписывал, подозрение сразу пало на ошибки в центре сертификации, однако Comodo отказались предоставлять доказательство нарушения их правил. Больше чем через неделю разбирательств стало понятно, что плевать они хотели на своих клиентов, тогда я написал подробную статью на Хабр с предупреждением об их деятельности, а затем уведомил и реселлера CodeSignCert о публичном обсуждении вопроса. Так или иначе, в итоге мне предоставили скриншот с причиной отзыва, по которому сразу стало видно ложное срабатывание:
Данный файл был выложен в интернет в августе 2018 года, через два месяца впервые попал на VirusTotal и был автоматически разослан всем антивирусам, и только спустя 9 месяцев после создания внезапно вызвал ложные срабатывания. Поскольку не все специалисты, чтобы на глаз определить false positive, я разослал этим антивирусам письма с просьбами провести дополнительный анализ, на данный момент 15 антивирусов исправили ошибку.
Однако это доказательство никак не ускорило решение проблемы — сотрудники Comodo по-прежнему игнорировали тикеты, а реселлер реагировал медленно и бесполезно. В итоге принял решение работать без подписи программ, тем более, что проблема может повториться на ровном месте. Этот случай является неожиданным, но ярким доказательством, что центрам сертификации правила неписаны и они запросто могут без дополнительной проверки и предупреждения отозвать сертификат, причинив огромные неудобства и убытки.
Если вы считаете, что правила равны для всех, то предлагаю посмотреть на чудесный пример условно-вредоносного ПО от Avast, сертификат которого никто не спешит отзывать. Здесь даже не ложное срабатывание, а просто навязчивое, нежелательное поведение, которое отмечено крупными антивирусами, такими как Avira, Comodo, ESET и Microsoft. Этот файл был подписан в декабре 2018, тогда же загружен на VirusTotal и распространён между всеми антивирусами, и за полгода его не только не отозвали, но я предполагаю, что и не отзовут. Как говорится, все люди равны, но некоторые равнее.
Бонус: мои личные предварительные выводы об участниках этой ситуации.
Comodo
Получить у них сертификат можно относительно быстро, если предоставить все необходимые документы и пройти все проверки. Однако в случае малейших проблем начинается удивительное — эти проблемы решать они не хотят принципиально. Если бы существовала награда за самую конченную техподдержку в мире, её с лёгкостью и большим отрывом выиграло бы Comodo (на втором месте был бы TeamViewer, но это совсем другая история). В чате с ними говорить бесполезно — не смотря на то, что там работают реальные люди, от обезьян можно добиться тех же результатов. На тикеты они принципиально не отвечают, но если ответ всё же будет, он окажется максимально бесполезным. По телефону говорят то же, что и в чате. И самое главное — они даже не пытаются ценить клиента и вникать в его проблемы, нашли какое-то срабатывание — отозвали, а ты хоть расшибись, проблему не решат и деньги не вернут. Хотя эту проблему можно решить за полчаса, тем более у них есть свой антивирус и антивирусные аналитики.
CodeSignCert
Хорошая цена сертификатов и адекватная техподдержка на этапе заказа, однако когда необходимо решить проблемы, как в моём случае, они не решаются. Могут долго молчать и вот уже примерно 3 недели не могут договориться с Comodo; они же поставили практически невыполнимое условие — убрать все срабатывания на VirusTotal, не понимая, что в силу специфики этой сферы ложные срабатывания будут всегда, на них не нужно полагаться автоматически и в важных вопросах решение должны принимать эксперты. Делать у них заказы в будущем я не стану, потому что такое решение проблем не нужно никому.
K Software
Реселлер, у которого я ничего не покупал, но консультировался насчёт этой ситуации. Не смотря на то, что я не являлся его клиентом, на вопросы отвечал адекватно, старался объяснить мотивацию центров сертификации, обещал вынести на обсуждение CA/B форума проблему ложных срабатываний. Не знаю, ускорилось ли бы решение этой проблемы, будь он моим реселлером, т. к. там окончательное решение принимает Comodo, однако за желание помочь получает плюсик и мои рекомендации.
DigiCert
Конечно я не мог упустить возможность спросить этих товарищей, почему они не отзывают сертификат Avast, если по правилам форума CA/B исключений быть не может. Ожидаемо ответили, что это скорее всего ложное срабатывание, ведь не будет же Avast в самом деле распространять вредоносное ПО, соответственно отзывать его они не будут. На уточняющий подробный вопрос, кто же здесь на самом деле нарушает правила, учитывая мой отозванный ни за что сертификат, отвечать перестали. Видимо потенциальные клиенты не нужны.
GoGetSSL
Самое интересное напоследок. Этот товарищ, свято уверенный в непогрешимости центров сертификации, изначально вызвался помочь и уточнить настоящую причину отзыва сертификата, когда та ещё не была известна; Comodo вообще не утруждается доказательствами для простых смертных. Однако его поддержка быстро переросла в треш, который можно почитать в комментариях на Хабре.
- Пока ждали ответа от Comodo, gogetssl решил провести собственное расследование и нашёл одно ложное срабатывание на сайт simplix.info. Подробнейшие объяснения о том, что источник распространения программ никак не связан с их подписью, он упорно не понимал, что является поразительным невежеством для центра сертификации.
- Не дожидаясь доказательств причины отзыва сертификата, gogetssl заранее стал на сторону Comodo, свято веря в то, что центр сертификации не может ошибаться. И даже когда я предоставил доказательства ложного срабатывания, не признал ошибку Comodo.
- По своей инициативе gogetssl пообещал «самый дорогой сертификат Symantec Code Signing сроком на 3 года», если окажется неправ, несколько раз подтверждал свои намерения и в итоге обманул, прямо отказавшись выполнять свои обещания.
- Писал в комментариях какую-то дичь, что за пределами России люди по умолчанию виновны и должны доказывать свою невиновность, и другие забавные утверждения. Искренне недоумевал, за что минусуют.
Таким образом, учитывая каким gogetssl оказался балаболом (мягко говоря), я вообще не рекомендую иметь дело с этим центром сертификации. Хотя к этому же выводу не сложно прийти и самостоятельно, после прочтения его комментариев.
В целом пока картина складывается не радужная насчёт центров сертификации — их никто не контролирует и потому они позволяют себе творить что хотят и игнорировать проблемы клиентов, даже не пытаясь сохранить репутацию. У меня совершенно нет времени и желания за сравнительно небольшие деньги тягаться по судам, хотя заведомо их выиграю. Comodo уже неоднократно занималась подобным мошенничеством, обманывая других мелких разработчиков, надеюсь всё же рано или поздно мои статьи доберутся до компетентных людей и им устроят проверку с хорошими штрафами. А пока что программы будут выглядеть неподписанными, хотя возможно я со временем решу и этот вопрос.
25 июня получил сертификат от DigiCert, дальше программы будут подписываться им. Впечатления от работы сотрудников DigiCert (валидация, техподдержка) положительные, на данный момент проблем нет.
Может быть имеет смысл отправить всю эту информацию в компетентные органы, негоже же, что гнусный Комодо останется безнаказанным. Да и крупным IT порталам не помешало бы распространить сию инфу, как считаете?
Я считаю, что не должен везде бегать и что-то доказывать, и так потратил много времени, чтобы вынудить их предоставить причину отзыва сертификата. Статьи публичные, люди сами в состоянии решить, покупать сертификаты на таких условиях или нет.
simplix, и правильно ето. Некуда бегать и доказывать.
Я пользую ESET Antivirus, никогда проблем с вашими програмами не было. Кто работает как надо нечего боятся. А и ети антивирусы в списке крайне сомнительные. Я бы не пользовался ими никогда. Желаю успехов в работе!
Уважаемый разработчик!
Не тратьте своё время и нервы. Не получается с Comodo и их реселлерами — тогда просто покупайте сертификат у других. Пытаться что-то доказывать так называемым «компетентным людям» — это бесполезная трата времени и нервов. Вам просто напишут глупую отписку, причём такую, что смотреть развлекательные каналы и ComedyClub вы перестанете в этот же день. Насчёт «за небольшие деньги тягаться по судам и заведомо их выиграть» тоже не питайте иллюзий. Это далеко не так. В расеянском суде не действуют даже законы арифметики! Про такую мелочь как федеральные законы можно просто промолчать. Пишу это потому что уже неоднократно приходилось иметь дело и с теми и с другими, поэтому всё вышесказанное из личного опыта, а не из так называемой «соцсети вконтакте». Так называемые «компетентные люди» проявят невиданную прыть только когда нужно будет закрыть терпилу за высказывания типа «на выборы ходить нет смысла» или «власть в стране нужно менять», а деятельность судов вообще не поддаётся никакой логике и здравому смыслу.
Сертификаты других торговцев воздухом стоят намного дороже и оформляются только на юрлицо, насколько я знаю. Если неадекватный Comodo единственный, кто выдаёт сертификаты физлицам по допустимой цене, то для обычных разработчиков складывается безвыходная ситуация. Я уже сделал самоподписанный сертификат для SmartFix, так как у меня проверка подлинности привязана к сертификатам; это лучше и надёжнее, чем изобретать велосипед, других вариантов не вижу. Если бы какой-нибудь ЦС выдал на физлицо с гарантией, что не отзовёт без экспертной оценки, тогда им можно было бы пользоваться, а сейчас — бардак.
Если обращаться к нормальным реселлерам, то все было бы решено очень быстро.
К примеру, можно оформить через LeaderSSL. Помогали оформлять через них нескольким компаниям, все ок, никаких проблем не возникало.
Причем как EV, так и простой code signing.
Нормальность реселлеров заранее узнать невозможно, они все выглядят красиво. Вон у GoGetSSL тоже отзывы фантастические, но если человек позволяет себе врать не стесняясь, представляю какая там поддержка. В моём случае CodeSignCert утверждает, что они до сих пор ждут ответа от Comodo, а учитывая что Comodo и мне не отвечает, это похоже на правду. Реселлер — просто перекуп за процент, он не сможет сделать ничего, если центр сертификации будет тормозить.
GoGetSSL работают на массу. Там такой конвейер, что немудрено, что там часто сбои и прочее. Тем более на них жалобы не редкость.
Но в целом с вами согласен. Если сам УЦ будет тормозить, то тут уже остается только на них пенять. Хотя бывает, что и сам реселлер виноват.
25 июня получил сертификат от DigiCert, дальше программы будут подписываться им. Впечатления от работы сотрудников DigiCert (валидация, техподдержка) положительные, на данный момент проблем нет.
Вы писали про DigiCert
> На уточняющий подробный вопрос, кто же здесь на самом деле нарушает правила, учитывая мой отозванный ни за что сертификат, отвечать перестали. Видимо потенциальные клиенты не нужны.
Они всё таки ответили?
Нет, очевидно это неудобный для них вопрос, у всех ЦС есть крупные клиенты с большим детектом на вирустотале.
По видимому, это самое лаконичное заключение!
Simplix,
вы уже более чем 15 лет помогаете сообществу будь то сборками виндовса, то накопительными обновлениями, либо создаете полезные программы, вместе с другими энтузиастами.
Но что вами движет оказывать такую услугу людям? На вашем сайте нет рекламы (во всяком случае у меня не отображется), и сертификаты вы покупаете для него.
притом отзывчиво отвечаете на пустяковые вопросы несведущих пользователей на форуме. Наверно увлеченность технологиями. Но когда же жить для себя?
Использую эти программы в своей работе.
Уважаемый simplix!
Извиняюсь что не по теме.
Давно использую ваши сборки UpdatePack Win7 и хотел бы благодарить Вас своей копейкой, но уже давно не вижу ссылки на donate. Где она?
С уважением и благодарностью за проделанную работу.
Нет необходимости, поэтому и убрал.
Бог в помощь!
Не против, если я кину ссыль на статью у себя в группе вконтакте?
Уж очень показательна работа ЦС, с которыми бывают проблемы неразрешимого характера.
Например, наш безобидный сайт-визитка вдруг стал опасен для посещения из-за «ошибки» сертификата. Пришлось создать группу вконтакте.
Вы очень известная личность и вашими продуктами пользуется огромная масса профессионалов и продвинутых пользователей. И на работе и дома. И большая их часть связана с системой windows. Понимаете? А вдруг мелкомягкие на вашей стороне и просто чего-то ждут, как в своё время от Mark Russinovich`а? Кто знает…
Это публичная информация, вы можете делать с ней что угодно. После истечения сертификата от DigiCert оказалось, что альтернатив Sectigo по цене нет вообще, поэтому на этот раз я получал его через адекватного посредника K Software, который может оперативнее решать проблемы.