Aktualizacja systemu Mac OS X Lion 10.7.2 psuje protokół SSL

14

streszczenie

Po aktualizacji z wersji 10.7.1 do 10.7.2 ani Safari, ani Google Chrome nie mogą ładować Gmaila. Spinning Beachballs dookoła.

Problemem nie jest Gmail; Firefox ładuje Gmaila dobrze.

Problem nie ogranicza się do Safari lub Google Chrome; Inne aplikacje mają również problemy z SSL: Gilgamesh i Safari. Każdy program korzystający z WebKit (Google Chrome, Safari) lub biblioteki Cocoa (Gilgamesh) w celu uzyskania dostępu do Internetu ma problemy z ładowaniem bezpiecznych witryn.

Różne fora online sugerują kilka poprawek, z których żadna nie działa.

Analiza

Poprawka nr 1: Otwórz Keychain Access.app i usuń Nieznany certyfikat.

Aktualizacja 10.7.2 zapobiega również ładowaniu dostępu do pęku kluczy. Sam program pęku kluczy Spinning Beachballs.

Poprawka nr 2: Usuń ~ / Library / Keychains / login.keychain i /Library/Keychains/System.keychain.

To tymczasowo rozwiązuje problem i umożliwia ładowanie bezpiecznych witryn, ale minuta lub dwie po ponownym uruchomieniu lub hibernacji w jakiś sposób magicznie cofają poprawkę, więc musisz usuwać te pliki w kółko.

Poprawka 3: Usuń ~ / Library / Application \ Support / Mob * i / Library / Application \ Support / Mob *.

Krążą plotki, że przyczyną problemu jest nowa usługa ubd MobileMe / iCloud. Ta poprawka nie rozwiązuje problemu.

Poprawka nr 4: Otwórz dostęp do pęku kluczy, otwórz Preferencje i wyłącz OCSP i CRL.

Ta poprawka nie rozwiązuje problemu.

Poprawka nr 5: Użyj instalatora kombi 10.7.0 -> 10.7.2 zamiast instalatora 10.7.1 -> 10.7.2.

Po uruchomieniu instalatora kombi pozostaje on na zawsze na ekranie „Sprawdzanie poprawności pakietów ...”. Sam instalator zestawu jest podłączony do He ||.

http://speely.files.wordpress.com/2011/10/validating-packages.png

Wymuszam zamknięcie instalatora, uruchomiłem polecenie „sudo killall installd”, aby wymusić zamknięcie procesu instalatora w tle i ponownie zainstalować instalator kombi.

Ten sam problem: zwleka z „Validing Packages ...”

Podsumować

Jedyną działającą poprawką jest usunięcie pęków kluczy, ale musisz to zrobić przy każdym ponownym uruchomieniu lub wybudzeniu ze stanu hibernacji. Istnieją dowody na to, że ubd stale psuje pliki pęku kluczy, ale sugerowana poprawka ubd polegająca na usunięciu ~ / Library / Application \ Support / Mob * i / Library / Application \ Support / Mob * nie rozwiązuje tego problemu.

Najwyraźniej coś psuje brelok w kółko.

Opublikowane również w społecznościach wsparcia Apple .

Mcandre
źródło
jakiś problem tutaj na moim MacBookPro i moim iMac27, ale występuje tylko wtedy, gdy aktywuję WiFi. Tak długo, jak pracuję tylko przez LAN, wszystko jest w porządku. Muszę pozostać przy wersji 10.7.0, dopóki ten problem nie zostanie rozwiązany :-(
Thomas Hübner
Nie próbuję tu „mnie też”, ale Gmail działa dla mnie dobrze w 10.7.2 i safari 5.1.2. Jakiego rodzaju dodatki używasz w Safari? Glims, click2flash itp.?
skub
Czy jest to ustalone w 10.7.3?
Tyilo,

Odpowiedzi:

2

Nasz pracownik pomocy technicznej dla komputerów Mac z powodzeniem uruchomił DiskWarrior, aby rozwiązać problem. Jak dotąd żaden z jego klientów nie zgłosił problemu.

AKTUALIZACJA:

Znalazłem rozwiązanie. Problem się zdarza, ponieważ portal związany z odpowiedzią na WSZYSTKO. Zmodyfikowałem DNS portalu dla niewoli, aby dać złe wyniki dla stron OCSP i CRL. W tym przypadku użyłem 127.0.0.1. Przekroczono limit czasu żądań zamiast zwracania niepoprawnych danych. Działa także lokalnie, zmieniając „/ private / etc / hosts” i dodając takie wpisy:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Prawidłowe wpisy mogą zależeć od urzędu certyfikacji. Znalazłem te adresy podczas oglądania połączenia za pomocą Wireshark.

Joseph
źródło
Czy Disk Utility lub Onyx pomogłyby, czy też musi to być DiskWarrior?
mcandre,
@mcandre Wciąż próbujemy ustalić, co robi DiskWarrior, aby rozwiązać problem. Nie jest to oczywiste z plików dziennika, które tworzy.
Joseph
2

Mogę dodać, że MobileMe jest teraz iCloud, więc folderem nie jest obsługa aplikacji / Mobi *, ale raczej obsługa aplikacji / wszechobecność.

Usuń to, chociaż miałem mieszane wyniki. Działa tylko 1/3 razy. Sposób, który zdecydowanie działa, polega na usunięciu:

~ / Library / Keychains / login.keychain and /Library/Keychains/System.keychain

Po prostu spłucz i powtórz. Nie jestem do końca pewien, kiedy pęk pęka, ale w pewnym momencie (zwykle około 3 dni dla mnie) wszystko przestaje działać.

Firefox wydaje się ominąć różne rzeczy, a jeśli nie chcesz nic robić, możesz wyłączyć OCSP w Firefoksie (about: config), aby zalogować się do portalu bezprzewodowego, a następnie pamiętać o ponownym włączeniu. Nie naprawi to jednak Safari ani Chrome (co to jest w Operze?)

Ale najlepszym rozwiązaniem jest przywrócenie do wersji 10.7.1 lub 10.7. Zdarzyło mi się mieć plik DMG z wcześniejszej wersji i był to 10.7.1. Wykonanie „ponownej instalacji” powoduje jedynie skopiowanie plików systemowych Lion i utrzymanie kształtu całej instalacji. Naprawdę po prostu ponownie instalujesz system operacyjny, ale zachowujesz WSZYSTKIE swoje aplikacje i dane. Jak dotąd było to idealne. Pamiętaj tylko, aby nie aktualizować do wersji 10.7.2, jeśli chcesz wycofać.

qwerasdf
źródło
Witryny SSL, które nie działały dla mnie w przeglądarce Safari lub Chrome, działały dla mnie w przeglądarce Firefox, tylko za pomocą tej przeglądarki.
RyanWilcox,
To dlatego, że Firefox używa innej metody uwierzytelniania niż Safari lub Chrome. Jednak dla mnie 10.7.2 nie jest w 100% wiarygodny. Czasami mogę przywołać stronę logowania do mojego niewoli portalu w szkole. Innym razem nie mogę. Najbezpieczniejszym sposobem jest przywrócenie wersji 10.7.1. Byłem na 10.7.1 przez około 3 tygodnie teraz w porównaniu do 1+ miesiąca z 10.7.2 i jest noc i dzień. Nigdy więcej ciągłego restartowania i usuwania plików, aby wszystko działało. Miejmy nadzieję, że 10.7.3 naprawia rzeczy.
qwerasdf
1

Wyłączenie sprawdzania OCSP i CRL jest bardzo złym pomysłem. Zasadniczo mówisz, że nie obchodzi Cię odwołanie certyfikatu. Nie jest to dobre, biorąc pod uwagę liczbę włamywaczy do urzędów certyfikacji. Właśnie dlatego Apple ulepszyło swoje bezpieczeństwo dla niewoli portali. Problem tkwi w samym połączeniu z portalem typu captive. Jeśli przejdziesz do jednego, nie możesz sprawdzić CRL lub OCSP, ponieważ (duh!) Jesteś w niewoli portalu. Ktokolwiek udostępnia ten portal, musi również wykłuć dziury w swojej zaporze ogniowej, aby umożliwić ci wyjście z portalu dostępowego w celu sprawdzenia certyfikatów, które daje strona portalu dostępowego https. Musieliśmy to zrobić w naszym korporacyjnym systemie bezprzewodowym, zanim Lion zdąży dotrzeć gdziekolwiek.

Bruce
źródło
1

Po tygodniach frustracji z powodu tego ciągle powtarzającego się problemu (i oczekiwania na Apple, aby wydało poprawkę), postanowiłem poszukać rozwiązania, które wycofałoby się z aktualizacji 10.7.2. Niestety nie znalazłem żadnego sposobu na przywrócenie wersji 10.7.1 lub 10.7.0.

Dlatego postanowiłem skorzystać z Lion Recovery i zobaczyć, jak to wpływa na sytuację. Wykonałem procedurę odzyskiwania, wykonując czynności opisane w tym artykule pomocy technicznej Apple .

Z przyjemnością informuję teraz, że w moim przypadku problem (mam nadzieję) zniknął! Z jakiegoś powodu, mimo że proces odzyskiwania systemu Windows ponownie zainstalował system OS X z powrotem do wersji 10.7.2, od ponad tygodnia nie mam żadnych problemów z pękiem kluczy lub SSL.

Użyłem trybu odzyskiwania online i wygląda na to, że wersja OS X pobrana podczas procesu odzyskiwania ma konfigurację, która nie uszkadza pęku kluczy. Proces odzyskiwania systemu Lion był super płynny i nie musiałem ponownie instalować żadnych aplikacji ani odzyskiwać plików z kopii zapasowej (nadal zalecałbym wykonywanie kopii zapasowych). Mój MacBook Pro ma wersję 5,1.

To dla mnie pierwszy raz, gdy aktualizacja zabezpieczeń Apple'a złamała OS X w tak duży sposób. Nadal zastanawiam się, dlaczego nie wydali poprawki / aktualizacji w celu rozwiązania tego problemu.

Pyry Liukas
źródło
Aktualizacja: Lion Recovery nie zapewnia stałej poprawki. Mogłem korzystać z Safari / Chrome przez kilka tygodni, gdy problem wystąpił ponownie. Z przykrością informuję, że nie zapewnia to trwałej poprawki, jak miałem nadzieję :(
Pyry Liukas,
1

(YMMV, ale zadziałało to dla mnie) - wyłączyłem sieć, uruchomiłem ponownie, aby zabić problem z pękiem kluczy, albo zawiesza dostęp do pęku kluczy, nie trzeba niczego usuwać. Następnie dezaktywowałem OCSP i CRL. Aktywowałem sieć ... Podłączyłem się do mojego portalu dla niewoli, a następnie reaktywowałem wszystko.

Problem polega na tym, że portal internetowy wymaga certyfikatów, ale blokuje łańcuch certyfikatów. Dziękuję za to drugie, które to sugeruje.

Sakamura
źródło
1

Z mojego doświadczenia wynika, że ​​dzieje się to tylko wtedy, gdy łączysz się za portalem do niewoli. Myślę, że powodem jest to, że system operacyjny próbuje zweryfikować certyfikat strony logowania do portalu dla niewolników, ale proces sprawdzania poprawności wymaga dostępu do Internetu. Udało mi się rozwiązać ten problem, ręcznie dodając certyfikat biernej strony portalu do pęku kluczy i oznaczając go jako zawsze zaufany.

Możesz wyeksportować certyfikat, wykonując następujące czynności:

  1. Odwiedź stronę portalu dla niewolników w przeglądarce Firefox
  2. Wybierz Tools > Page Info > Security > View Certificate > Details > Export
  3. Zapisz certyfikat na dysku twardym z rozszerzeniem „.crt”

Możesz zaimportować certyfikat, wykonując następujące czynności:

  1. otwarty Keychain Access.app
  2. Przeciągnij certyfikat z Findera do pęku kluczy
  3. Kliknij dwukrotnie certyfikat i rozwiń sekcję „Zaufanie”
  4. Wybierz „Podczas korzystania z tego certyfikatu: Always Trust
  5. Zamknij wyskakujące okienko

Jeśli nie można otworzyć Dostęp do pęku kluczy pęk kluczy, ponieważ jest uszkodzony, wyłącz bezprzewodową, usuwać ~/Library/Keychains/login.keychaini /Library/Keychains/System.keychain, a następnie ponownego uruchomienia komputera.

Jonathan Potter
źródło
0

Znalazłem problem. Jest to spowodowane poprawką zabezpieczeń w wersji 10.7.2 (Security Captive Portal Hijacking). Prawdopodobnie jedna z sieci, z którymi jesteś podłączony, ma witrynę portalu, na której możesz wprowadzić dane logowania ... dla mnie była to sieć Wi-Fi.

Aby na razie rozwiązać ten problem, dezaktywuj wszystkie sieci, uruchom ponownie, uruchom pęku kluczy, przejdź do preferencji, certyfikatów, wyłącz OCSP i CRL. Uruchom ponownie, aktywuj sieci i gotowe ...

Thomas Hübner
źródło
1
Dzięki, ale wyłączenie OCSP i CRL nie działa dla mnie. Breloczek sam się psuje.
mcandre
0

Udało mi się, wykonując „fix # 2” jak wyżej.

W terminalu:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

a następnie uruchom ponownie.

Riotaro OKADA
źródło
2
Albo, dla aktualnie zalogowanego użytkownika: cd ~/Library/keychains. Nie wiem też, skąd removepochodzi twoje polecenie, ale to nie jest standard. rm login.keychaindziała na dowolnym komputerze Mac.
Arjan,