Tại sao OS X không tin tưởng chứng chỉ SSL của GitHub?


68

Khi tôi truy cập bất kỳ trang github.com nào trong Chrome, tôi gặp một lỗi lớn xấu xí:

Bạn đã cố gắng truy cập github.com, nhưng máy chủ đã xuất trình chứng chỉ do một thực thể không được hệ điều hành máy tính của bạn tin cậy. Điều này có thể có nghĩa là máy chủ đã tạo thông tin bảo mật của riêng mình, Chrome không thể dựa vào thông tin nhận dạng hoặc kẻ tấn công có thể đang cố gắng chặn các liên lạc của bạn.

Bạn không thể tiến hành vì nhà điều hành trang web đã yêu cầu bảo mật nâng cao cho tên miền này.

Điều tương tự cũng xảy ra (trong Chrome và với curl) khi tôi truy cập https://www.digicert.com/ . Vấn đề kỳ lạ này bắt đầu khoảng một tuần rưỡi trước.

Đây là những gì tôi thấy khi tôi nhấp vào biểu tượng khóa bị hỏng trong thanh địa chỉ:

GitHub.com bị hỏng Thông tin chứng chỉ GitHub.com

Nhưng gist.github.com hoạt động tốt:

Gist.GitHub.com hoạt động Thông tin chứng chỉ Gist.GitHub.com

Nó cũng không hoạt động với curl:

Nó không hoạt động với curl

Mọi thứ đều hoạt động tốt trong Firefox.

Làm thế nào tôi có thể khắc phục vấn đề CA gốc của tôi?

Đây là những gì nó trông giống như trong Firefox:

nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây

Cập nhật:

Tôi nhận thấy rằng chứng chỉ đầu tiên trong chuỗi khác với Chrome / Safari bị hỏng so với Chrome trên máy tính khác của tôi.

nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây

(Không còn màu đỏ X khó chịu nữa vì tôi đã tin tưởng nó trong Safari.) Xem các nhà phát hành khác nhau như thế nào? Tôi có thể làm gì với điều đó?


Có một sự khác biệt giữa * .github.com và github.com bạn đang sử dụng trình duyệt nào?
Ramhound

Chrome. Nó bị hỏng trong Chrome, nhưng nó hoạt động trong Firefox. Nó không hoạt động với curl.
Trevor Dixon

Bạn có thể đăng thông tin Firefox cho thấy chứng chỉ không có lỗi không?
Ramhound

Đã thêm hình ảnh Firefox ở phía dưới.
Trevor Dixon

Vấn đề tương tự với digicert.com .
Trevor Dixon

Câu trả lời:


42

điều này làm việc cho tôi:

Keychain.app > Preferences > General > Reset My Default Keychain

CẬP NHẬT

Một tùy chọn ít quyết liệt hơn là xóa chứng chỉ DigiCert khỏi Keychain đăng nhập : dù sao bạn cũng nên có một cái trong móc khóa gốc. Lỗi này xuất hiện khi cả hai không khớp nhau.


2
Có vẻ quyết liệt ...
JLundell

3
Tôi tin rằng việc xóa chứng chỉ trong Keychain đăng nhập cũng có thể hoạt động. Nếu tôi đã hiểu chính xác, DigiCert vẫn ở trong móc khóa gốc. Đáng thử trước khi đặt lại. (Tất nhiên là sao lưu, v.v.)
evacchi

Vâng, điều đó đã làm việc cho tôi. Câu đố tại sao nó trong móc khóa đăng nhập. Khi kiểm tra, hai phiên bản không giống nhau; tò mò phiên bản đăng nhập đến từ đâu.
JLundell

tốt để biết, tôi sẽ cập nhật câu trả lời.
evacchi

3
Bên cạnh đó: các vấn đề tương tự có thể xảy ra do có chứng chỉ gốc hết hạn trong Keychain đăng nhập của một người, ghi đè các chứng chỉ được cập nhật từ Rễ hệ thống. Để hiển thị những mục đó, hãy bật "Hiển thị chứng chỉ đã hết hạn" trong menu "Xem".
Arjan

79

Có một vấn đề mới kể từ ngày 26 tháng 7 năm 2014 khi một giấy chứng nhận trải rộng gần như cũ đã hết hạn.

Dựa trên https://www.yesthatallen.com/fixing-an-old-digicert-su/

Hướng dẫn xóa chứng chỉ SSL DigiCert đã hết hạn trên OSX

 
  1. Khởi chạy Keychain Access thông qua Spotlight
    • Space-Không gian
    • Nhập "Truy cập Keychain"
    • Lượt về
  2. Đảm bảo giấy chứng nhận hết hạn được hiển thị; bật "Hiển thị chứng chỉ hết hạn" trong menu "Xem".
  3. Tìm kiếm "Digicert".
  4. Nhấp chuột phải vào chứng chỉ với dấu X màu đỏ và chọn "Xóa DigiCert High Assurance EV Root CA"
  5. Chứng chỉ có thể không bị xóa cho đến khi Keychain Access được khởi động lại
  6. Khởi động lại trình duyệt của bạn
Bạn sẽ một lần nữa có thể truy cập các trang web bị ảnh hưởng.

 


2
Xóa chứng chỉ không giúp được gì, tôi đã khởi động lại máy tính của mình. Vấn đề vẫn tồn tại. Ý tưởng nào không?
Aviel

9
Ok, tôi có thể xóa quá nhiều chứng chỉ digi, tôi đã đến đây digicert.com/digicert-root-certert.htmlm và tải xuống chứng chỉ "DigiCert High Assurance EV Root CA".
Aviel

1
@Aviel Cảm ơn, tải xuống và cài đặt lại chứng chỉ đó đã giúp tôi.
Tim Scott

1
Điều này làm việc như một cơ duyên đối với tôi và cũng giải quyết vấn đề tương tự với safari (như bạn mong đợi). Tôi đã cần phải khởi động lại Chrome mặc dù.
biggusjimmus

Tuyệt quá! Điều này làm việc cho tôi. Cảm ơn @ ALLen Hancock :)
Mark Robson


1

Tôi vừa thử giải pháp của John, và nó không giúp được gì. Mặc dù trong trường hợp của tôi, tôi đã không tìm thấy bất kỳ biểu tượng "màu xanh +" nào trong Lớp.
Vì vậy, tất cả những gì tôi đã làm là xóa hai tệp bộ nhớ cache được đề xuất và khởi động lại.
Trong trường hợp của tôi, tôi đang cố cập nhật một ứng dụng trong Macports, sử dụng git để kết nối với github để tải xuống nguồn và điều đó gây ra lỗi. Và, tôi thấy lỗi trong Safari, nhưng không phải ở Firefox.

Sau những điều trên tôi đã liên lạc với DigiCert, và họ rất hữu ích về việc giải quyết nó. Trong Keychain Access-> System Roots Category: Chứng chỉ

DigiCert Đảm bảo cao EV Root CA-> Trust-> SSL thay đổi từ: không có giá trị được chỉ định thành: Luôn tin tưởng GTE CyberTrust Global Root-> Trust-> SSL thay đổi từ: không có giá trị được chỉ định thành: Luôn tin tưởng


1

Đối với tôi, vấn đề đã được giải quyết bằng cách khởi động tiện ích Keychain Access, chọn Keychain First Aid từ menu Keychain Keychain và chọn Repair.


Nhấp vào sửa chữa dường như đã xóa tất cả các chứng chỉ của tôi để nó có thể là sản phẩm phụ.
Xám

0

Có một vấn đề với các Chứng chỉ SSL khác nhau một thời gian trước, thấy rằng điều này hoạt động cho 90% các vấn đề đó.

Xóa các tập tin /var/db/crls/crlcache.db và /var/db/crls/ocspcache.db. Chúng có thể được tìm thấy bằng cách sử dụng Tìm kiếm>; Chuyển đến menu Thư mục (Cmd + Shift + G). Điều này đặt lại bộ đệm của các chứng chỉ được chấp nhận trong hệ thống. Nó không loại bỏ chúng, nó chỉ buộc hệ thống xây dựng lại bộ đệm khi khởi động lại.

Mở Truy cập Keychain (/ Ứng dụng / Tiện ích / Truy cập Keychain). Chọn Chứng chỉ trong bộ chọn Danh mục ở bên trái. Trong thanh tìm kiếm, nhập từ Class. Xem qua danh sách đó và tìm bất kỳ chứng chỉ nào có biểu tượng + màu xanh trên biểu tượng của chúng. Đây là những cái bạn cần sửa đổi.

Chọn một cái có dấu + màu xanh lam và nhấn Command + I. Nhấp vào hình tam giác tiết lộ bên cạnh danh sách của Trust Trust. Để hiển thị danh sách các quyền. Bây giờ, những gì chúng ta cần làm là đặt chứng chỉ này để sử dụng mặc định hệ thống. Tuy nhiên, vì một số lý do, khi bạn chọn nó, nó không lưu. Vì vậy, những gì bạn cần làm là điều này. Bên dưới, Trust Trust, nơi có thông báo Lớp bảo mật an toàn (SSL), hãy thay đổi menu thả xuống thành Nói không có giá trị được chỉ định. Sau đó, đóng cửa sổ. Nó sẽ yêu cầu quyền quản trị viên của bạn. Sau đó, mở ngăn thông tin cho chứng chỉ đó một lần nữa. Theo mục Trust Trust, một lần nữa, bây giờ hãy đặt danh sách thả xuống có tên là Khi sử dụng chứng chỉ này: Nói để sử dụng hệ thống Mặc định mặc định. Sau đó, bạn có thể đóng cửa sổ thông tin và nhập lại mật khẩu của mình. Làm điều này cho bất kỳ chứng chỉ nào có dấu + màu xanh trên biểu tượng của chúng. Chỉ nên có một hoặc hai tối đa.

Khởi động lại hệ thống của bạn.

Hãy cho tôi biết nếu nó hoạt động, tôi sẽ tò mò nếu nó hoạt động.

Vì LUÔN LUÔN sao lưu bằng Time Machine, vì nếu nó trở nên tồi tệ hơn thì ít nhất bạn có thể quay lại!


0

Đối với những người đã loại bỏ chứng chỉ hết hạn nhưng vẫn có vấn đề. Khởi chạy truy cập móc khóa, đi đến mục menu cho nó, chọn "móc khóa sơ cứu", chạy kiểm tra, chạy sửa chữa, sau đó chạy lại kiểm tra để chắc chắn. Vấn đề nên biến mất.


Điều này có vẻ giống như câu trả lời của Keith Bennett vào ngày 6 tháng 7
Scott

0

Điều này đã giúp tôi:

(chrome, OsX)

  1. Mở Keychain.app
  2. Tìm kiếm "digicert" ở góc trên bên phải của Keychain.app
  3. Chọn tất cả các chứng chỉ digicert và xóa chúng bằng nhấp chuột phải và menu ngữ cảnh ( http://screencast.com/t/2T4f1XQa0Xu )
  4. Truy cập tại đây http://digicert.com/digicert-root-certert.htmlm
  5. Tìm trên trang và Tải xuống chứng chỉ DigiCert High Assurance EV Root CA
  6. Khi tải xuống - nhấp vào nó và cài đặt nó vào móc khóa của bạn
  7. Khởi động lại chrome của bạn

0

Tôi đã làm theo lời khuyên của Allen nhưng nó không hiệu quả với tôi. Vì vậy, tôi thử điều này. Hình như nó hoạt động.

  1. Thực hiện theo tất cả các bước của Allen.
  2. Mở trang bị ảnh hưởng trên Safari (ví dụ: github.com).
  3. Nó sẽ hứa với bạn hộp cảnh báo này. Nhấp vào 'Hiển thị chứng chỉ'. nhập mô tả hình ảnh ở đây
  4. Tại 'Khi sử dụng chứng chỉ này:' thả xuống, chọn 'Luôn tin tưởng'. Tất cả 2 danh sách thả xuống bên dưới sẽ tuân theo cùng một quy tắc bạn đã chọn ở đây. nhập mô tả hình ảnh ở đây
  5. Mở Chrome, thử truy cập trang bị ảnh hưởng (ví dụ: github.com).

Tôi đã thử điều này. Facebook tải bình thường. Nhưng, github được tải không có CSS. Tôi nhận được bộ xương github. Tôi không biết tại sao điều này xảy ra. Nhưng kết nối đã được thiết lập và ổn.

Có ý kiến ​​gì không?


0

Sau khi dành nhiều giờ cố gắng khắc phục điều này, tôi đã tải xuống - Link ;

  • DigiCert Toàn cầu gốc CA
  • Đảm bảo cao DigiCert EV Root CA
  • DigiCert Đảm bảo ID gốc CA

Không có ý tưởng nếu thực hành tốt này nhưng nó làm việc cho tôi. Tôi đang chạy OSX 10.9.5 & Chrome 42.0.2311.152 (64-bit)


0

Làm việc cho tôi trong MAC 10.10.3 1) Mở khóa truy cập 2) Tìm kiếm DigiCert High Assurance EV Root CA 3) Nhấp đúp chuột vào DigiCert High Assurance EV Root CA 4) Trên cửa sổ DigiCert Đảm bảo cao EV Root CA chọn TRUST 5) thay đổi với pulldown menu khi sử dụng chứng chỉ này với LUÔN LUÔN TRUST DONE


0

Tìm thấy dưới đây trực tuyến. Tôi chắc chắn rằng đó là một trò đùa như cách bạn từng lừa ai đó khi nhấn ALT + F4 trên Windows, nhưng nó hiệu quả với tôi và một đồng nghiệp:

  1. Nhấp vào bất cứ nơi nào trong khung Chrome bị ảnh hưởng
  2. Trên bàn phím, gõ: nguy hiểm

Thế là xong, trang tải. CSS không tải, vì vậy bạn chỉ cần "Xem nguồn", nhấp vào tệp css và bạn sẽ thấy thông báo lỗi một lần nữa. Lặp lại các bước trên và CSS sẽ hiển thị. Sau đó làm mới trang Github và tất cả đều tốt.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.