Как определить, почему macOS считает, что сертификат отозван?

42

Я не могу получить доступ к Википедии на обоих компьютерах Mac. macOS говорит, что промежуточный сертификат, используемый для подписи сертификата Википедии ( GlobalSign Organization Validation CA - SHA256 - G2), был отозван.

Я не верю, что данный сертификат был отозван, поэтому я проверил вручную сервис CRL и OCSP GlobalSign, и оба сказали мне, что сертификат в порядке.

Существуют ли другие источники CRL, которые потенциально могут использовать macOS? Есть ли способ попросить Security Framework сказать мне, что именно не так с сертификатом по его мнению?

— kirelagin
источник

также видя это для википедии / maxcdn / ...

— Соматик

1

Я также сталкивался с этим на моем Mac (Сьерра), когда посещал Википедию. Это работает на моем устройстве iOS, хотя

— Panda

1

Википедия развертывает на всех сайтах новый сертификат, на который не влияют

— pietrodn

3

Ни один из ответов ниже даже не пытается ответить на вопрос. Все они пытаются найти

— обходной путь

1

@klanomath Я бы сказал так: все пытаются устранить последствия, зная первоначальную причину, а вопрос о том, как диагностировать проблему, - это исчерпание.

— Кирелагин

40

Я попытался, crlrefresh rpа также вручную удалить кэш OCSP с помощью, sudo rm /var/db/crls/*cache.dbкак задокументировано GlobalSign .

Однако, кеш, похоже, находится в другом месте на macOS 10.12 Sierra. Следующая команда сработала для меня и решила проблему:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Я также попытался удалить всю базу данных, но она не возвращается автоматически.

Если вы не уверены, лучше просто восстановить ~/Library/Keychains/*/ocspcache.sqlite3*(включая -shmи -wal) из резервной копии, прежде чем серверы OCSP начали давать неправильные ответы, например, со вчерашнего дня.

— raimue
источник

3

Я использую macOS Sierra, и эта команда sqlite исправила проблему и для меня. Мне не нужно было выходить из системы или даже выходить из браузера. Сначала я сделал резервную копию ocspcache.sqlite3.

— Дэн Риз

1

Это исправило проблему с Википедией в Safari, но Chrome все еще блокирует меня.

— Бен

Кажется, что проблема иногда возвращается, но повторное выполнение этой команды исправляет ее снова.

— Дэн Риз

Ух ты, а под "изредка" я подразумеваю примерно каждые несколько минут. Может быть, это не совсем то, что нужно.

— Дэн Риз

1

Это работает для меня на Safari, а также на Chrome. Хрому понадобился перезапуск браузера.

— Петродн

19

Возможно, это так, кажется, у GlobalSign возникла проблема с их OCSP. Это взято из их твиттера ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

В настоящее время у нас возникают проблемы с нашим OCSP, который вызывает предупреждения о сертификатах. Мы стремимся исправить это как можно скорее.

А также

ОБНОВЛЕНИЕ: Если вы пользователь MAC, очистите кэш с помощью crlrefresh rp

или просмотреть и / или удалить CRL, кэш OCSP

— Майкл Хансен
источник

1

На самом деле я уже пытался, crlrefresh rpи это, кажется, не помогает. В любом случае, я ищу способ убедить macOS сообщить мне точную причину, по которой он считает, что сертификат плохой (будь то OCSP или что-то еще).

— Кирелагин

Воздействие, вероятно, будет зависеть от того, были ли решены проблемы верхнего уровня?

— Андре М

Очистка кешей не помогла мне решить проблему, но, по крайней мере, у меня есть ссылка на проблему.

— Джордан Томас,

Сейчас есть своего рода пресс-релиз: globalsign.com/en/customer-revocation-error

— Петр

0

Пробовал инструкцию, предоставленную Global Sign, но она мне не очень помогла.

sudo rm /var/db/crls/*cache.dbНа самом деле не помогло, потому что есть еще один файл кэша, crlcache2.dbкоторый не соответствует *cache.dbкритериям.

Мое решение было также удалить этот файл, а затем перезагрузить компьютер.

sudo rm /var/db/crls/crlcache2.db

Я думаю, что это безопасно, sudo rm /var/db/crls/*потому что папка содержит только файлы кэша. Но если вы решили сделать это, делайте это на свой страх и риск.

— DawTaylor
источник

0

MacOS считает, что сертификат был отозван, потому что промежуточный сертификат в его цепочке доверия был (случайно) отозван. Посмотрите, что провал GlobalSign отменяет сертификаты HTTPS ведущих веб-сайтов .

Сообщение об ошибке, которое вы видите, сообщает вам, какой промежуточный сертификат был отозван. Что еще вы хотели бы знать?

— Эрик Тауэрс
источник

-3

Другой вариант - перейти на сайт, который вы никогда не используете и который использует globalsign, например (для любых носителей английского языка) https://it.wikipedia.org (итальянская википедия), и когда он появляется, говоря, что недействительный сертификат явно доверяет globalsign сертификат, пока этот CF не будет исправлен

— Саймон
источник

3

Это плохая идея, ИМО. Я всегда очень серьезно отношусь к предупреждениям о сертификатах и не продолжаю. Что, если OP был MITM'd, и они просто слепо щелкнули через это предупреждение?

— Grooveplex

1

Пожалуйста, не делай этого. Если этот сертификат когда-либо был отозван по важным причинам, ваша система будет игнорировать этот отзыв, пока вы не удалите явное доверие. Очистка кэша OCSP - гораздо более эффективный и безопасный способ решения этой проблемы.

— Джошперри