![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Об отзыве сертификата для подписи кода WinRAR
Какой-то хобот завернул свою малварь в самораспаковывающийся архив, созданный с помощью WinRAR, далее информация о детекции этой малвари распространилась между 60+ вендорами антималвари через VirusTotal (из которых добрая половина — китайский ноунейм), а в кульминационный момент этой драмы какой-то овощ из CA (certificate authority: контора, которая выдаёт вендорам софта сертификаты для цифровой подписи кода) отозвал сертификат, которым подписывается WinRAR. То есть включил этот сертификат в CRL (certificate revocation list, список отозванных сертификатов).
В итоге, программа WinRAR последней версии не запускается и не устанавливается нигде, она перестала работать на всех компьютерах в мире. А далее драма переходит в фарс: овощи из CA полностью выпадают на мороз ("пока не решите проблему с VirusTotal, нового сертификата не будет"), в результате чего авторы WinRAR почему-то паникуют, поддаются на вымогательство и быстренько бегут покупать аналогичный сертификат для подписи кода у других подобных скаммерсантов.
https://web.archive.org/web/20200827101709/https://www.rarlab.com/revoked591.html
Хотя наиболее логичным на месте авторов WinRAR было бы послать всех этих CA-шантажистов к хуям собачьим и просто-напросто перестать подписывать свою программу вообще, даже если все сертификаты для подписи кода будут полностью на шару а-ля LetsEncrypt. Пущай юзвери-хомячки дрессируются на прокликивание ворнингов, нефик вендорам софта поощрять это CA-вымогательство.
WinRAR находится на таком уровне, что он сам вправе требовать от этой CA-шпаны оплату на уровне не менее $1000 в месяц за привилегию предоставить ему сертификат для подписи кода, и при этом ещё и ломать комедию и придираться к ерундовым мелочам.
В итоге, программа WinRAR последней версии не запускается и не устанавливается нигде, она перестала работать на всех компьютерах в мире. А далее драма переходит в фарс: овощи из CA полностью выпадают на мороз ("пока не решите проблему с VirusTotal, нового сертификата не будет"), в результате чего авторы WinRAR почему-то паникуют, поддаются на вымогательство и быстренько бегут покупать аналогичный сертификат для подписи кода у других подобных скаммерсантов.
https://web.archive.org/web/20200827101709/https://www.rarlab.com/revoked591.html
Хотя наиболее логичным на месте авторов WinRAR было бы послать всех этих CA-шантажистов к хуям собачьим и просто-напросто перестать подписывать свою программу вообще, даже если все сертификаты для подписи кода будут полностью на шару а-ля LetsEncrypt. Пущай юзвери-хомячки дрессируются на прокликивание ворнингов, нефик вендорам софта поощрять это CA-вымогательство.
WinRAR находится на таком уровне, что он сам вправе требовать от этой CA-шпаны оплату на уровне не менее $1000 в месяц за привилегию предоставить ему сертификат для подписи кода, и при этом ещё и ломать комедию и придираться к ерундовым мелочам.