Làm thế nào để biết tại sao macOS nghĩ rằng một chứng chỉ bị thu hồi?

42

Tôi không thể truy cập Wikipedia trên cả máy Mac của mình. macOS nói rằng chứng chỉ trung gian được sử dụng để ký chứng chỉ Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) đã bị thu hồi.

Tôi không tin rằng chứng chỉ đang nghi vấn đã bị thu hồi, vì vậy tôi đã kiểm tra thủ công dịch vụ CRL và OCSP của GlobalSign và cả hai đều nói với tôi rằng chứng chỉ đó ổn.

Có các nguồn CRL khác mà macOS có thể sử dụng không? Có cách nào để yêu cầu Khung bảo mật cho tôi biết chính xác điều gì sai với chứng chỉ không?

— kirelagin
nguồn

cũng thấy điều này cho wikipedia / maxcdn / ...

— Somatik

1

Tôi cũng đã gặp điều này trên máy Mac (Sierra) khi truy cập Wikipedia. Nó hoạt động trên thiết bị iOS của tôi

— Panda

1

Wikipedia đang triển khai trên tất cả các trang web một chứng chỉ mới không bị ảnh hưởng bởi các vấn đề, ngay bây giờ: photypeator.wik.wik.org.org / T148045

— pietrodn

3

Không có câu trả lời nào dưới đây thậm chí cố gắng trả lời câu hỏi. Tất cả trong số họ cố gắng tìm một công việc xung quanh ...

— klanomath

1

@klanomath Tôi sẽ giải thích nó theo cách này: mọi người đều cố gắng loại bỏ hậu quả khi biết nguyên nhân ban đầu, trong khi qe bỏng là cách chẩn đoán vấn đề.

— kirelagin

40

Tôi đã thử crlrefresh rpvà cũng xóa thủ công bộ đệm OCSP theo sudo rm /var/db/crls/*cache.dbnhư tài liệu của GlobalSign .

Tuy nhiên, bộ đệm dường như ở một vị trí khác trên macOS 10.12 Sierra. Lệnh sau đã làm việc cho tôi và giải quyết vấn đề:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Tôi cũng đã cố gắng xóa toàn bộ cơ sở dữ liệu, nhưng nó dường như không tự động quay trở lại.

Nếu không chắc chắn, tốt hơn là chỉ cần khôi phục ~/Library/Keychains/*/ocspcache.sqlite3*(bao gồm -shmvà -wal) từ bản sao lưu trước khi các máy chủ OCSP bắt đầu trả lời sai, ví dụ như từ ngày hôm qua.

— raimue
nguồn

3

Tôi đang sử dụng macOS Sierra và lệnh sqlite này cũng đã khắc phục sự cố cho tôi. Tôi không cần phải đăng xuất, hoặc thậm chí thoát khỏi trình duyệt. Tôi đã tạo một bản sao lưu của ocspcache.sqlite3 trước tiên.

— Dan Reese

1

Điều này đã khắc phục sự cố Wikipedia trên Safari, nhưng Chrome vẫn chặn tôi.

— benr

Vấn đề dường như thỉnh thoảng quay trở lại, nhưng chạy lại lệnh đó sẽ sửa nó một lần nữa.

— Dan Reese

Wow, và "thỉnh thoảng", ý tôi là cứ sau vài phút. Có lẽ đó không phải là một sửa chữa thực sự sau khi tất cả.

— Dan Reese

1

Nó hoạt động với tôi trên Safari và cả trên Chrome. Chrome cần khởi động lại trình duyệt.

— pietrodn

19

Có thể là điều này, dường như GlobalSign đã có vấn đề với OCSP của họ. Điều này được lấy từ twitter của họ ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Chúng tôi hiện đang gặp sự cố với OCSP đang gây ra thông báo cảnh báo chứng chỉ. Chúng tôi mong muốn khắc phục điều này càng sớm càng tốt.

Và cũng

CẬP NHẬT: Nếu bạn là người dùng MAC, vui lòng xóa bộ nhớ cache của bạn với crlrefresh rp

hoặc Xem và / hoặc Xóa CRL, Bộ nhớ cache OCSP

— Michael Hansen
nguồn

1

Trên thực tế, tôi đã thử crlrefresh rpvà nó dường như không giúp được gì. Dù sao, những gì tôi đang tìm kiếm là một cách để thuyết phục macOS cho tôi biết lý do chính xác tại sao nó nghĩ rằng chứng chỉ đó là xấu (có thể là OCSP hoặc một cái gì đó khác).

— kirelagin

Tác động có thể sẽ phụ thuộc vào việc các vấn đề thượng nguồn đã được giải quyết chưa?

— Andre M

Xóa bộ nhớ cache không khắc phục được sự cố cho tôi nhưng ít nhất tôi có một sự quy kết cho vấn đề này.

— Jordan Thomas

Hiện tại đã có thông cáo báo chí về các loại: continalsign.com/en/customer-revocation-error

— Petr Hudeček

0

Đã thử hướng dẫn do Global Sign cung cấp, nhưng nó không thực sự giúp tôi.

sudo rm /var/db/crls/*cache.dbKhông thực sự có ích vì có một tệp bộ đệm khác crlcache2.dbkhông phù hợp với *cache.dbtiêu chí.

Giải pháp của tôi là xóa tệp này, rồi khởi động lại.

sudo rm /var/db/crls/crlcache2.db

Tôi nghĩ rằng nó an toàn sudo rm /var/db/crls/*vì thư mục chỉ chứa các tập tin bộ nhớ cache. Nhưng nếu bạn chọn làm điều đó, hãy tự chịu rủi ro.

— DawTaylor
nguồn

0

MacOS tin rằng chứng chỉ đã bị thu hồi vì chứng chỉ trung gian trong chuỗi ủy thác của nó (vô tình) bị thu hồi. Xem GlobalSign vít lên hủy bỏ chứng chỉ HTTPS của các trang web hàng đầu .

Thông báo lỗi bạn đang thấy là cho bạn biết chính xác chứng chỉ trung gian nào đã bị thu hồi. Bạn muốn biết thêm gì nữa?

— Tháp Eric
nguồn

-3

Tùy chọn khác là truy cập vào một trang web mà bạn không bao giờ sử dụng sử dụng globalalsign, ví dụ (đối với bất kỳ người nói tiếng Anh nào) https://it.wikipedia.org (tiếng Ý wikipedia) và khi nói rằng chứng nhận không hợp lệ rõ ràng tin tưởng vào Gloalsign chứng chỉ cho đến khi CF này được cố định đúng

— Simon
nguồn

3

Đây là một ý tưởng tồi, IMO. Tôi luôn luôn cảnh báo giấy chứng nhận rất nghiêm túc và tôi không tiếp tục. Điều gì sẽ xảy ra nếu OP đang là MITM và họ chỉ mù quáng thông qua cảnh báo đó?

— grooveplex

1

Xin đừng làm điều này. Nếu chứng chỉ đó bị thu hồi vì những lý do quan trọng thì hệ thống của bạn sẽ bỏ qua việc thu hồi đó cho đến khi bạn xóa niềm tin rõ ràng. Xóa bộ nhớ cache OCSP của bạn là một cách hiệu quả và an toàn hơn nhiều để giải quyết vấn đề này.

— joshperry