Bản cập nhật Mac OS X Lion 10.7.2 phá vỡ SSL

Tóm lược

Sau khi cập nhật từ 10.7.1 đến 10.7.2, cả Safari và Google Chrome đều không thể tải GMail. Quay Beachballs xung quanh.

Vấn đề không phải là GMail; Firefox tải GMail tốt.

Vấn đề không giới hạn ở Safari hoặc Google Chrome; Các ứng dụng khác cũng gặp sự cố với SSL: Gilgamesh và Safari. Bất kỳ chương trình nào sử dụng WebKit (Google Chrome, Safari) hoặc thư viện Ca cao (Gilgamesh) để truy cập Internet đều gặp sự cố khi tải các trang web bảo mật.

Các diễn đàn trực tuyến khác nhau đề xuất một số bản sửa lỗi, không có bản sửa lỗi nào.

Phân tích

Khắc phục # 1: Mở Keychain Access.app và xóa chứng chỉ Unknown.

Bản cập nhật 10.7.2 cũng ngăn không cho Keychain Access tải. Chương trình Keychain tự quay Beachballs.

Khắc phục # 2: Xóa ~ / Thư viện / Móc khóa / login.keychain và / L Library / Keychains / System.keychain.

Điều này tạm thời giải quyết vấn đề và cho phép bạn tải các trang web an toàn, nhưng một hoặc hai phút sau khi khởi động lại hoặc ngủ đông bằng cách nào đó hoàn tác một cách kỳ diệu, vì vậy bạn phải xóa các tệp này nhiều lần.

Khắc phục # 3: Xóa ~ / Thư viện / Ứng dụng \ Hỗ trợ / Mob * và / Thư viện / Ứng dụng \ Hỗ trợ / Mob *.

Có tin đồn rằng dịch vụ MobileMe / iCloud mới đang gây ra sự cố. Khắc phục sự cố này không giải quyết vấn đề.

Khắc phục sự cố số 4: Mở Truy cập Keychain, mở Tùy chọn và tắt OCSP và CRL.

Khắc phục sự cố này không giải quyết vấn đề.

Khắc phục # 5: Sử dụng trình cài đặt kết hợp 10.7.0 -> 10.7.2, thay vì trình cài đặt 10.7.1 -> 10.7.2.

Khi tôi chạy trình cài đặt kết hợp , nó sẽ tồn tại mãi mãi ở màn hình "Xác thực gói ...". Bản thân trình cài đặt kết hợp đã được cài đặt cho He ||.

Tôi buộc thoát khỏi trình cài đặt, chạy "sudo killall installd" để thoát khỏi quá trình cài đặt nền và chạy lại trình cài đặt kết hợp.

Vấn đề tương tự: nó bị treo ở "Gói trị giá ..."

Tóm tắt

Cách khắc phục duy nhất hoạt động là xóa các móc khóa, nhưng bạn phải thực hiện việc này mỗi khi bạn khởi động lại hoặc thức dậy khỏi chế độ ngủ đông. Có một số bằng chứng cho thấy ubd liên tục làm hỏng các tệp móc khóa, nhưng cách khắc phục ubd được đề xuất là xóa ~ / Library / Application \ Support / Mob * và / Library / Application \ Support / Mob * không giải quyết được vấn đề này.

Rõ ràng, một cái gì đó đang làm hỏng móc khóa nhiều lần.

Cũng được đăng trên Cộng đồng hỗ trợ của Apple .

Người hỗ trợ máy Mac của chúng tôi đã chạy thành công DiskWar Warrior để khắc phục sự cố. Không có khách hàng của ông đã báo cáo vấn đề xuất hiện trở lại cho đến nay.

CẬP NHẬT:

Tôi đã tìm ra một sửa chữa. Vấn đề đang xảy ra vì cổng bị khóa trả lời MỌI THỨ. Tôi đã điều chỉnh DNS của cổng bị khóa để đưa ra kết quả xấu cho các trang web OCSP và CRL. Tôi đã sử dụng 127.0.0.1 trong trường hợp này. Các yêu cầu hiện đã hết thời gian chờ thay vì trả lại dữ liệu không chính xác. Nó cũng hoạt động cục bộ bằng cách thay đổi "/ private / etc / hosts" và thêm các mục như thế này:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Các mục chính xác có thể phụ thuộc vào CA cho chứng chỉ. Tôi tìm thấy những địa chỉ này trong khi xem kết nối bằng Wireshark.

Tôi có thể thêm rằng MobileMe hiện là iCloud để thư mục không phải là Hỗ trợ ứng dụng / Mobi *, mà là Hỗ trợ ứng dụng / Ubiquity.

Xóa nó, mặc dù tôi đã có kết quả hỗn hợp. Nó chỉ hoạt động 1/3 lần. Cách chắc chắn hoạt động là xóa:

~ / Thư viện / Móc khóa / login.keychain và / L Library / Keychains / System.keychain

Chỉ cần rửa sạch và lặp lại. Tôi không hoàn toàn chắc chắn khi Truy cập Keychain sẽ bị hỏng, nhưng tại một số điểm (thường là khoảng 3 ngày đối với tôi), mọi thứ sẽ ngừng hoạt động.

Firefox dường như xoay quanh mọi thứ và nếu bạn không muốn làm gì cả, bạn có thể tắt OCSP trong Firefox (about: config) chỉ để đăng nhập vào cổng không dây của bạn, sau đó nhớ bật lại. Điều này sẽ không sửa Safari hoặc Chrome mặc dù (từ trên Opera là gì?)

Nhưng giải pháp tốt nhất là khôi phục lại 10.7.1 hoặc 10.7. Tôi tình cờ có tệp DMG từ trước đó và nó là 10.7.1. Thực hiện "cài đặt lại" chỉ sao chép các tệp hệ thống Lion của bạn và giữ toàn bộ cài đặt của bạn trong hình dạng. Vì vậy, bạn thực sự chỉ cần cài đặt lại hệ điều hành nhưng vẫn giữ TẤT CẢ các ứng dụng và dữ liệu của bạn. Cho đến nay điều này đã được hoàn hảo. Chỉ cần nhớ không cập nhật lên 10.7.2 nếu bạn sẽ quay trở lại.

Tắt kiểm tra OCSP và CRL là một ý tưởng tồi. Về cơ bản, bạn đang nói rằng bạn không quan tâm đến việc thu hồi chứng chỉ. Điều này là không tốt với số lượng các cơ quan cấp chứng chỉ bị hack trong những ngày này. Đó là lý do tại sao apple nâng cấp bảo mật cho các cổng bị giam cầm. Vấn đề là ở chính kết nối cổng bị khóa. Nếu bạn truy cập một, bạn không thể kiểm tra CRL hoặc OCSP vì (duh!) Bạn đang ở trong cổng bị giam cầm. Bất cứ ai cung cấp cổng thông tin này, cũng phải chọc các lỗ hổng trong tường lửa của họ để cho phép bạn ra khỏi cổng bị giam giữ để kiểm tra các chứng chỉ mà trang cổng thông tin bị giam giữ https đang cung cấp cho bạn. Chúng tôi đã phải làm điều này trên hệ thống không dây doanh nghiệp của chúng tôi trước khi Lion có thể đến bất cứ nơi nào.

Sau nhiều tuần thất vọng với vấn đề liên tục tái diễn này (và chờ Apple phát hành bản sửa lỗi), tôi quyết định tìm kiếm bất kỳ giải pháp nào có thể phục hồi từ bản cập nhật 10.7.2. Thật không may, tôi đã không tìm thấy bất kỳ cách nào để thực hiện quay lại thành 10.7.1 hoặc 10.7.0.

Do đó, tôi quyết định sử dụng Lion Recovery và xem nó ảnh hưởng đến tình hình như thế nào. Tôi đã thực hiện quy trình khôi phục bằng cách làm theo các bước được nêu trong bài viết hỗ trợ này của Apple .

Tôi vui mừng thông báo rằng trong trường hợp của tôi, vấn đề đã (hy vọng) biến mất! Vì một số lý do, mặc dù quá trình Lion Recovery đã cài đặt lại OS X trở lại phiên bản 10.7.2, tôi vẫn chưa gặp vấn đề gì với Keychain hoặc SSL trong hơn một tuần nay.

Tôi đã sử dụng chế độ khôi phục trực tuyến và có vẻ như phiên bản OS X được tải xuống trong quá trình khôi phục có một số loại thiết lập không làm hỏng móc khóa. Quá trình Lion Recovery cực kỳ trơn tru và tôi không phải cài đặt lại bất kỳ ứng dụng nào hoặc khôi phục các tệp từ bản sao lưu (tôi vẫn sẽ khuyên bạn nên thực hiện sao lưu). MacBook Pro của tôi là phiên bản 5,1.

Đây là lần đầu tiên đối với tôi, bản cập nhật bảo mật của Apple đã phá vỡ OS X theo cách lớn như vậy. Tôi vẫn tự hỏi tại sao họ không phát hành bản sửa lỗi / cập nhật để khắc phục vấn đề này.

(YMMV nhưng nó hoạt động với tôi) - Tôi đã tắt mạng, khởi động lại để tiêu diệt sự cố móc khóa nếu không nó sẽ đóng băng Keychain Access, không cần phải xóa bất cứ điều gì. Sau đó, tôi đã hủy kích hoạt OCSP và CRL. Tôi đã kích hoạt mạng ... Tôi kết nối với cổng bị khóa của mình và sau đó kích hoạt lại mọi thứ.

Vấn đề là cổng bị khóa yêu cầu chứng chỉ, nhưng chặn chuỗi chứng chỉ. Cảm ơn bạn cho một người khác đề nghị này.

Theo kinh nghiệm của tôi, điều này chỉ xảy ra khi kết nối đằng sau một cổng bị giam cầm. Tôi nghĩ lý do là hệ điều hành cố gắng xác nhận chứng chỉ của trang đăng nhập của cổng bị khóa, nhưng quá trình xác nhận yêu cầu truy cập internet. Tôi đã có thể khắc phục vấn đề này bằng cách thêm thủ công chứng chỉ của trang cổng bị khóa vào móc khóa và đánh dấu nó là luôn tin tưởng.

Bạn có thể xuất chứng chỉ theo các bước sau:

1. Truy cập trang cổng thông tin bị giam cầm trong Firefox
2. Lựa chọn Tools > Page Info > Security > View Certificate > Details > Export
3. Lưu chứng chỉ vào ổ cứng của bạn với phần mở rộng ".crt"

Bạn có thể nhập chứng chỉ theo các bước sau:

1. Mở Keychain Access.app
2. Kéo chứng chỉ từ Finder vào móc khóa
3. Nhấp đúp chuột vào chứng chỉ và mở rộng phần "Tin cậy"
4. Chọn "Khi sử dụng chứng chỉ này: Always Trust"
5. Đóng cửa sổ bật lên

Nếu bạn không thể mở Keychain Access vì keychain của bạn bị hỏng, tắt không dây, xóa ~/Library/Keychains/login.keychainvà /Library/Keychains/System.keychain, và sau đó khởi động lại.

Tôi tìm thấy vấn đề. Nó gây ra bởi bản sửa lỗi bảo mật trong 10.7.2 (Cướp cổng bảo mật cổng thông tin). Có khả năng một trong những mạng bạn được kết nối có một trang web cổng thông tin, nơi bạn có thể nhập dữ liệu đăng nhập ... đối với tôi đó là mạng WiFi.

Để giải quyết vấn đề này ngay bây giờ, hãy hủy kích hoạt tất cả các mạng, khởi động lại, khởi động móc khóa, đi đến tùy chọn, chứng chỉ, tắt OCSP và CRL. Khởi động lại, kích hoạt mạng của bạn và bạn đi ...

Tôi đã thành công bằng cách thực hiện "sửa lỗi số 2" như trên.

Trong thiết bị đầu cuối:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

và sau đó khởi động lại.

Một đề xuất ở cuối https://discussions.apple.com/thread 43230739? Start = 0 & tart = 0 dường như chỉ ra rằng quy trình sau khắc phục sự cố: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html