Jak stwierdzić, dlaczego system macOS uważa, że ​​certyfikat został odwołany?

42

Nie mogę uzyskać dostępu do Wikipedii na obu komputerach Mac. macOS twierdzi, że certyfikat pośredni użyty do podpisania certyfikatu Wikipedii ( GlobalSign Organization Validation CA - SHA256 - G2) został unieważniony.

wprowadź opis zdjęcia tutaj

Nie sądzę, aby ten certyfikat został unieważniony, więc ręcznie sprawdziłem usługę CRL i OCSP GlobalSign i obaj powiedzieli mi, że certyfikat jest OK.

Czy istnieją inne źródła list CRL, z których potencjalnie może korzystać macOS? Czy istnieje sposób, aby poprosić Security Framework o powiedzenie mi, co dokładnie jest nie tak z certyfikatem w jego opinii?

kirelagin
źródło
widząc to również dla wikipedia / maxcdn / ...
Somatik
1
Spotkałem to również na moim komputerze Mac (Sierra) podczas odwiedzania Wikipedii. Działa to jednak na moim urządzeniu z systemem iOS
Panda,
1
Wikipedia wdraża na wszystkich stronach nowy certyfikat, na który nie mają wpływu problemy, teraz: phabricator.wikimedia.org/T148045
pietrodn
3
Żadna z poniższych odpowiedzi nawet nie próbuje odpowiedzieć na pytanie. Wszyscy próbują znaleźć obejście ...
klanomath
1
@klanomath Ujmę to w ten sposób: wszyscy starają się wyeliminować konsekwencje znając pierwotną przyczynę, a pytanie polega na tym, jak zdiagnozować problem.
kirelagin

Odpowiedzi:

40

Próbowałem crlrefresh rpi ręcznie usunąłem pamięć podręczną OCSP sudo rm /var/db/crls/*cache.dbzgodnie z dokumentacją GlobalSign .

Wygląda jednak na to, że pamięć podręczna znajduje się w innym miejscu w systemie macOS 10.12 Sierra. Następujące polecenie działało dla mnie i rozwiązało problem:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Próbowałem również usunąć całą bazę danych, ale wydaje się, że nie wraca automatycznie.

Jeśli nie masz pewności, lepiej po prostu przywróć kopię zapasową ~/Library/Keychains/*/ocspcache.sqlite3*(w tym -shmi -wal), zanim serwery OCSP zaczną udzielić błędnych odpowiedzi, na przykład od wczoraj.

raimue
źródło
3
Korzystam z systemu macOS Sierra, a to polecenie sqlite również rozwiązało problem. Nie musiałem się wylogowywać ani nawet wyłączać przeglądarki. Najpierw zrobiłem kopię zapasową ocspcache.sqlite3.
Dan Reese,
1
To rozwiązało problem Wikipedii w Safari, ale Chrome wciąż mnie blokuje.
benr
Wydaje się, że problem pojawia się od czasu do czasu, ale ponowne uruchomienie tego polecenia rozwiązuje go ponownie.
Dan Reese
Wow, a przez „okazjonalnie” mam na myśli co kilka minut. Może to wcale nie jest poprawka.
Dan Reese,
1
Działa dla mnie w Safari, a także w Chrome. Chrome wymagał ponownego uruchomienia przeglądarki.
pietrodn
19

Może tak być, wygląda na to, że GlobalSign ma problem z OCSP. To pochodzi z ich Twittera ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Obecnie występują problemy z naszym OCSP, które powodują komunikaty ostrzegawcze certyfikatów. Staramy się to naprawić jak najszybciej.

I również

AKTUALIZACJA: Jeśli jesteś użytkownikiem MAC, wyczyść pamięć podręczną za pomocą crlrefresh rp

lub Wyświetl i / lub Usuń CRL, pamięć podręczną OCSP

Michael Hansen
źródło
1
Właściwie to już próbowałem crlrefresh rpi wydaje się, że to nie pomaga. W każdym razie to, czego szukam, jest sposobem przekonania macOS, aby powiedział mi dokładny powód, dla którego uważa, że ​​certyfikat jest zły (czy to OCSP, czy coś innego).
kirelagin
Wpływ będzie prawdopodobnie zależeć od tego, czy problemy wyższego szczebla zostały rozwiązane?
Andre M
Czyszczenie pamięci podręcznej nie rozwiązało problemu, ale przynajmniej mam przypisany problem.
Jordan Thomas
Jest teraz rodzaj komunikatu prasowego: globalsign.com/en/customer-revocation-error
Petr Hudeček
0

Próbowałem instrukcji dostarczonych przez Global Sign, ale tak naprawdę mi to nie pomogło.

sudo rm /var/db/crls/*cache.dbW rzeczywistości nie pomogło, ponieważ istnieje inny plik pamięci podręcznej, crlcache2.dbktóry nie spełnia *cache.dbkryteriów.

Moim rozwiązaniem było również usunięcie tego pliku, a następnie ponowne uruchomienie.

sudo rm /var/db/crls/crlcache2.db

Myślę, że jest to bezpieczne, sudo rm /var/db/crls/*ponieważ folder zawiera tylko pliki pamięci podręcznej. Ale jeśli zdecydujesz się to zrobić, zrób to na własne ryzyko.

DawTaylor
źródło
0

MacOS uważa, że ​​certyfikat został odwołany, ponieważ certyfikat pośredni w jego łańcuchu zaufania został (przypadkowo) odwołany. Zobacz śruba GlobalSign anuluje certyfikaty HTTPS najlepszych stron internetowych .

Wyświetlany komunikat o błędzie mówi dokładnie, który certyfikat pośredni został odwołany. Co więcej chciałbyś wiedzieć?

Eric Towers
źródło
-3

Inną opcją jest przejście do witryny, z której nigdy nie korzystasz i która korzysta z globalsign, na przykład (dla każdego anglojęzycznego) https://it.wikipedia.org (włoska wikipedia), a kiedy pojawia się informacja o nieprawidłowym certyfikacie, wyraźnie zaufaj globalsign certyfikat, aż ten CF zostanie poprawnie naprawiony

Szymon
źródło
3
To zły pomysł, IMO. Zawsze traktuję ostrzeżenia o certyfikatach bardzo poważnie i nie kontynuuję. Co jeśli OP byłby MITM i po prostu ślepo kliknęli to ostrzeżenie?
grooveplex
1
Proszę nie rób tego. Jeśli ten certyfikat zostanie kiedykolwiek odwołany z ważnych powodów, system zignoruje to odwołanie, dopóki nie usuniesz jawnego zaufania. Opróżnianie pamięci podręcznej OCSP jest znacznie bardziej skutecznym i bezpiecznym sposobem rozwiązania tego problemu.
joshperry