Обновление Mac OS X Lion 10.7.2 нарушает SSL

Резюме

После обновления с 10.7.1 до 10.7.2 ни Safari, ни Google Chrome не могут загрузить GMail. Вращающиеся пляжные мячи вокруг.

Проблема не в GMail; Firefox прекрасно загружает GMail.

Проблема не ограничивается Safari или Google Chrome; Другие приложения также имеют проблемы с SSL: Gilgamesh и Safari. Любая программа, которая использует WebKit (Google Chrome, Safari) или библиотеку Какао (Gilgamesh) для доступа к Интернету, имеет проблемы с загрузкой защищенных сайтов.

Различные форумы онлайн предлагают несколько исправлений, ни один из которых не работает.

Анализ

Исправление № 1: Откройте Keychain Access.app и удалите неизвестный сертификат.

Обновление 10.7.2 также запрещает загрузку Keychain Access. Сама программа Keychain Spinning Beachballs.

Исправление №2: удалите ~ / Library / Keychains / login.keychain и /Library/Keychains/System.keychain.

Это временно решает проблему и позволяет загружать защищенные сайты, но через минуту или две после перезагрузки или гибернации каким-то волшебным образом отменяет исправление, поэтому вы должны удалять эти файлы снова и снова.

Исправление № 3: Удалить ~ / Библиотека / Приложение \ Поддержка / Mob * и / Библиотека / Приложение \ Поддержка / Mob *.

Ходят слухи, что причиной этого является новая служба MobileMe / iCloud ubd. Это исправление не решает проблему.

Исправление № 4: Откройте доступ к связке ключей, откройте настройки и отключите OCSP и CRL.

Это исправление не решает проблему.

Исправление № 5: Используйте комбинированный установщик 10.7.0 -> 10.7.2, а не 10.7.1 -> 10.7.2.

Когда я запускаю комбо-инсталлятор , он всегда остается на экране «Проверка пакетов ...». Сам комбо-инсталлятор прослушивается He ||.

Я принудительно завершаю установку, запускаю «sudo killall installd», чтобы принудительно завершить фоновый процесс установки, и снова запускаю комбинированный установщик.

Та же проблема: он останавливается на "Validing Packages ..."

резюмировать

Единственное исправление, которое работает, - это удаление цепочек для ключей, но вы должны делать это каждый раз, когда вы перезагружаетесь или выходите из спящего режима. Есть некоторые свидетельства того, что ubd постоянно портит файлы цепочки для ключей, но предлагаемое исправление ubd удаления ~ / Library / Application \ Support / Mob * и / Library / Application \ Support / Mob * не решает эту проблему.

Очевидно, что-то портит цепочку для ключей снова и снова и снова.

Также опубликовано в сообществах поддержки Apple .

Наш специалист по поддержке Mac успешно запустил DiskWarrior для решения проблемы. Ни один из его клиентов не сообщил о появлении проблемы до сих пор.

ОБНОВИТЬ:

Я понял, как исправить. Проблема возникает из-за того, что портал авторизации отвечает на ВСЕ. Я настроил DNS портала, чтобы дать плохие результаты для сайтов OCSP и CRL. Я использовал 127.0.0.1 в этом случае. Время ожидания запросов истекло, вместо того, чтобы возвращать неверные данные. Он также работает локально, изменив "/ private / etc / hosts" и добавив записи вроде этого:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Правильные записи могут зависеть от CA для сертификата. Я нашел эти адреса во время просмотра соединения с помощью Wireshark.

Могу добавить, что MobileMe теперь является iCloud, поэтому папка не является Application Support / Mobi *, а скорее Application Support / Ubiquity.

Удалите это, хотя у меня были смешанные результаты. Это работало только 1/3 раза. Способ, который определенно работает, удаляет:

~ / Библиотека / Брелки / login.keychain и /Library/Keychains/System.keychain

Просто промыть и повторить. Я не совсем уверен, когда Keychain Access сломается, но в какой-то момент (обычно около 3 дней для меня) все перестает работать.

Похоже, что Firefox обходит все вокруг, и если вы вообще ничего не хотите делать, вы можете отключить OCSP в Firefox (about: config) просто для входа в свой беспроводной портал, а затем не забудьте включить его снова. Это не исправит Safari или Chrome (что за слово в Opera?)

Но лучшее решение - восстановить до 10.7.1 или 10.7. У меня был файл DMG от ранее, и это было 10.7.1. Выполнение «переустановки» только копирует ваши системные файлы Lion и сохраняет всю вашу установку в форме. Таким образом, вы действительно просто переустанавливаете ОС, но сохраняете ВСЕ свои приложения и данные. Пока это было прекрасно. Просто помните, чтобы не обновлять до 10.7.2, если вы собираетесь откатиться.

Отключение проверок OCSP и CRL - очень плохая идея. По сути, вы говорите, что вас не волнует отзыв сертификатов. Это не хорошо, учитывая количество взломанных центров сертификации в эти дни. Именно поэтому компания Apple модернизировала свою безопасность для плененных порталов. Проблема в самом подключении к порталу. Если вы идете к одному, вы не можете проверить CRL или OCSP, потому что (да!) Вы находитесь в плену портала. Кто бы ни предоставлял этот портал, он также должен проделать дыры в своем брандмауэре, чтобы вы могли выйти из неавторизованного портала и проверить сертификаты, которые вам дает страница портала https. Мы должны были сделать это в нашей корпоративной беспроводной системе, прежде чем Lion смог добраться куда угодно.

После нескольких недель разочарования по поводу этой постоянно повторяющейся проблемы (и ожидания, пока Apple выпустит исправление), я решил поискать любое решение, которое откатилось бы после обновления 10.7.2. К сожалению, я не нашел способа сделать откат до 10.7.1 или 10.7.0.

Поэтому я решил использовать Lion Recovery и посмотреть, как это повлияет на ситуацию. Я выполнил процедуру восстановления, выполнив действия, описанные в этой статье поддержки Apple .

Я рад сообщить, что в моем случае проблема (надеюсь) исчезла! По какой-то причине, хотя процесс Lion Recovery переустанавливал OS X обратно до версии 10.7.2, у меня не было проблем с Keychain или SSL уже более недели.

Я использовал режим онлайн-восстановления, и кажется, что версия OS X, загружаемая в процессе восстановления, имеет какую-то настройку, которая не повреждает связку ключей. Процесс восстановления Lion был очень плавным, и мне не пришлось переустанавливать какие-либо приложения или восстанавливать файлы из резервной копии (я все равно рекомендовал бы делать резервные копии). Мой MacBook Pro - версия 5,1.

Для меня это первый раз, когда обновление безопасности Apple так сильно сломало OS X. Мне все еще интересно, почему они не выпустили исправление / обновление, чтобы исправить эту проблему.

(YMMV, но у меня это сработало) - Я деактивировал сеть, перезагрузился, чтобы убить проблему с цепочкой для ключей, иначе он заблокирует доступ к цепочке для ключей, не нужно ничего удалять. Затем я деактивировал OCSP и CRL. Я активировал сеть ... Я подключился к своему пленному порталу, а затем снова активировал все.

Проблема заключается в том, что пленный портал требует сертификатов, но блокирует цепочку сертификатов. Спасибо за другого, предложившего это.

По моему опыту, это происходит только при подключении за пленным порталом. Я думаю, что причина в том, что операционная система пытается проверить сертификат страницы входа в портал, но процесс проверки требует доступа в Интернет. Мне удалось решить эту проблему, вручную добавив сертификат цепной страницы портала в цепочку для ключей и пометив его как всегда доверительный.

Вы можете экспортировать сертификат, выполнив следующие действия:

1. Посетите страницу портала в Firefox
2. Выбрать Tools > Page Info > Security > View Certificate > Details > Export
3. Сохраните сертификат на жестком диске с расширением «.crt».

Вы можете импортировать сертификат, выполнив следующие действия:

1. открыто Keychain Access.app
2. Перетащите сертификат из Finder в связку ключей
3. Дважды щелкните сертификат и разверните раздел «Доверие».
4. Выберите «При использовании этого сертификата: Always Trust»
5. Закройте всплывающее окно

Если вы не можете открыть Keychain Access, потому что ваша цепочка для ключей повреждена, отключите беспроводную связь, удалите ~/Library/Keychains/login.keychainи /Library/Keychains/System.keychain, а затем перезагрузите компьютер.

Я нашел проблему. Это вызвано исправлением безопасности в 10.7.2 (Перехват портала безопасности). Вероятно, в одной из сетей, к которой вы подключены, есть сайт портала, где вы можете ввести данные для входа ... для меня это была сеть WiFi.

Чтобы решить эту проблему сейчас, деактивируйте все сети, перезагрузите компьютер, запустите связку ключей, перейдите к настройкам, сертификатам, отключите OCSP и CRL. Перезагрузитесь, активируйте свои сети, и вот вы ...

Мне удалось сделать "исправить # 2", как указано выше.

В терминале:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

и затем перезагрузите компьютер.

Предложение в конце https://discussions.apple.com/thread/3430739?start=0&tstart=0, похоже, указывает на то, что следующая процедура решает проблему: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html