Nie mogę uzyskać dostępu do Wikipedii na obu komputerach Mac. macOS twierdzi, że certyfikat pośredni użyty do podpisania certyfikatu Wikipedii ( GlobalSign Organization Validation CA - SHA256 - G2
) został unieważniony.
Nie sądzę, aby ten certyfikat został unieważniony, więc ręcznie sprawdziłem usługę CRL i OCSP GlobalSign i obaj powiedzieli mi, że certyfikat jest OK.
Czy istnieją inne źródła list CRL, z których potencjalnie może korzystać macOS? Czy istnieje sposób, aby poprosić Security Framework o powiedzenie mi, co dokładnie jest nie tak z certyfikatem w jego opinii?
security
keychain
sierra
certificate
kirelagin
źródło
źródło
Odpowiedzi:
Próbowałem
crlrefresh rp
i ręcznie usunąłem pamięć podręczną OCSPsudo rm /var/db/crls/*cache.db
zgodnie z dokumentacją GlobalSign .Wygląda jednak na to, że pamięć podręczna znajduje się w innym miejscu w systemie macOS 10.12 Sierra. Następujące polecenie działało dla mnie i rozwiązało problem:
Próbowałem również usunąć całą bazę danych, ale wydaje się, że nie wraca automatycznie.
Jeśli nie masz pewności, lepiej po prostu przywróć kopię zapasową
~/Library/Keychains/*/ocspcache.sqlite3*
(w tym-shm
i-wal
), zanim serwery OCSP zaczną udzielić błędnych odpowiedzi, na przykład od wczoraj.źródło
Może tak być, wygląda na to, że GlobalSign ma problem z OCSP. To pochodzi z ich Twittera ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
I również
lub Wyświetl i / lub Usuń CRL, pamięć podręczną OCSP
źródło
crlrefresh rp
i wydaje się, że to nie pomaga. W każdym razie to, czego szukam, jest sposobem przekonania macOS, aby powiedział mi dokładny powód, dla którego uważa, że certyfikat jest zły (czy to OCSP, czy coś innego).Próbowałem instrukcji dostarczonych przez Global Sign, ale tak naprawdę mi to nie pomogło.
sudo rm /var/db/crls/*cache.db
W rzeczywistości nie pomogło, ponieważ istnieje inny plik pamięci podręcznej,crlcache2.db
który nie spełnia*cache.db
kryteriów.Moim rozwiązaniem było również usunięcie tego pliku, a następnie ponowne uruchomienie.
sudo rm /var/db/crls/crlcache2.db
Myślę, że jest to bezpieczne,
sudo rm /var/db/crls/*
ponieważ folder zawiera tylko pliki pamięci podręcznej. Ale jeśli zdecydujesz się to zrobić, zrób to na własne ryzyko.źródło
MacOS uważa, że certyfikat został odwołany, ponieważ certyfikat pośredni w jego łańcuchu zaufania został (przypadkowo) odwołany. Zobacz śruba GlobalSign anuluje certyfikaty HTTPS najlepszych stron internetowych .
Wyświetlany komunikat o błędzie mówi dokładnie, który certyfikat pośredni został odwołany. Co więcej chciałbyś wiedzieć?
źródło
Inną opcją jest przejście do witryny, z której nigdy nie korzystasz i która korzysta z globalsign, na przykład (dla każdego anglojęzycznego) https://it.wikipedia.org (włoska wikipedia), a kiedy pojawia się informacja o nieprawidłowym certyfikacie, wyraźnie zaufaj globalsign certyfikat, aż ten CF zostanie poprawnie naprawiony
źródło