MacOS'un neden bir sertifikanın iptal edildiğini düşündüğü nasıl anlaşılır?

42

Her iki Mac’te Wikipedia’ya erişemiyorum. macOS, Wikipedia'nın sertifikasını ( GlobalSign Organization Validation CA - SHA256 - G2) imzalamak için kullanılan ara sertifikanın iptal edildiğini söylüyor .

Söz konusu sertifikanın iptal edildiğine inanmıyorum, bu yüzden GlobalSign'ın CRL ve OCSP servisini el ile kontrol ettim ve her ikisi de bana sertifikanın iyi olduğunu söylüyor.

MacOS'un potansiyel olarak kullanabileceği başka CRL kaynakları var mı? Güvenlik Çerçevesi'nden, bana göre sertifikada tam olarak neyin yanlış olduğunu söylemesini istemek için bir yol var mı ?

— kirelagin
kaynak

ayrıca wikipedia / maxcdn / ... için bunu da görüyoruz

— Somatik

1

Ayrıca Vikipedi'yi ziyaret ederken Mac'imde (Sierra) de karşılaştım. Yine de iOS cihazımda çalışıyor

— Panda

1

Wikipedia tüm sitelerde sorunlardan etkilenmeyen yeni bir sertifika kullanıyor, şu anda: phabricator.wikimedia.org/T148045

— pietrodn

3

Aşağıdaki cevapların hiçbiri soruyu cevaplamaya bile çalışmıyor. Hepsi etrafta bir iş bulmaya çalışıyor ...

— klanomath

1

@klanomath Bu şekilde koyardım: herkes asıl sebebi bilmenin sonuçlarını ortadan kaldırmaya çalışıyor, Qeustion ise sorunun nasıl teşhis edilebileceği.

— kirelagin

40

Denedim crlrefresh rpve el ile de birlikte OCSP önbelleğini silerek sudo rm /var/db/crls/*cache.dbolarak GlobalSign tarafından belgelenmiştir .

Ancak, önbellek macOS 10.12 Sierra'da farklı bir konumda görünüyor. Aşağıdaki komut benim için çalıştı ve sorunu çözdü:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Ayrıca tüm veritabanını silmeyi denedim, ancak otomatik olarak geri gelmiyor gibi görünüyor.

Emin değilseniz, OCSP sunucuları yanlış cevap vermeye başlamadan önce, örneğin dünden bir yedekten ~/Library/Keychains/*/ocspcache.sqlite3*( -shmve de dahil -wal) daha iyi bir şekilde geri yükleyin .

— raimue
kaynak

3

MacOS Sierra kullanıyorum ve bu sqlite komutu da benim için sorunu düzeltti. Çıkış yapmam ya da tarayıcıdan çıkmam bile gerekmedi. Önce ocspcache.sqlite3 yedek kopyasını yaptım.

— Dan Reese

1

Bu, Safari’deki Wikipedia sorununu çözdü, ancak Chrome hala beni engelliyor.

— benr

Sorun zaman zaman geri geliyor gibi görünüyor, ancak bu komutu tekrar çalıştırmak onu tekrar düzeltir.

— Dan Reese 17

Vay, ve "arada sırada" derken, birkaç dakikada bir demek istiyorum. Belki de sonuçta bu gerçek bir düzeltme değildir.

— Dan Reese

1

Benim için Safari'de ve ayrıca Chrome'da çalışıyor. Chrome'un tarayıcının yeniden başlatılması gerekiyordu.

— pietrodn

19

Bu olabilir, GlobalSign'in OCSP'leri ile ilgili bir problemi var gibi görünüyor. Bu onların twitter üzerinden alınır ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Şu anda OCSP ile ilgili sertifika uyarısı iletilerine neden olan sorunlar yaşıyoruz. Bunu en kısa zamanda düzeltmeyi hedefliyoruz.

Ve ayrıca

GÜNCELLEME: Bir MAC kullanıcısıysanız, lütfen önbelleğinizi temizleyin. crlrefresh rp

veya CRL, OCSP Önbelleğini Göster ve / veya Sil

— Michael Hansen
kaynak

1

Aslında, çoktan denedim crlrefresh rpve yardımcı görünmüyor. Her neyse, aradığım şey, bana, sertifikanın kötü olduğunu düşündüğünün kesin nedenini söylemesi için macOS'u ikna etmenin bir yolu (OCSP ya da başka bir şey olabilir).

— kirelagin

Etki muhtemelen yukarı havza sorunlarının çözülüp çözülmediğine bağlı olacak mı?

— Andre M,

Önbellekleri temizlemek sorunu benim için çözmedi, ancak en azından sorun için bir özellikim var.

— Jordan Thomas,

Şimdi bir tür basın açıklaması var: globalsign.com/tr/customer-revocation-error

— Petr Hudeček 13:16

0

Global Sign tarafından verilen talimatı denedim, ancak bana pek yardımcı olmadı.

sudo rm /var/db/crls/*cache.dbAslında kritere crlcache2.dbuymayan başka bir önbellek dosyası olduğundan yardımcı olmadı *cache.db.

Benim çözümüm de bu dosyayı kaldırmak ve yeniden başlatmak oldu.

sudo rm /var/db/crls/crlcache2.db

Sanırım güvenli sudo rm /var/db/crls/*çünkü klasör sadece önbellek dosyalarını tutuyor. Ancak yapmayı seçtiyseniz, kendi sorumluluğunuzdadır.

— DawTaylor
kaynak

0

MacOS, sertifikanın iptal edildiğine inandığından, güven zincirindeki bir ara sertifika iptal edildiğine inanmaktadır. GlobalSign'in ayrılmasının en iyi web sitelerinin HTTPS sertifikalarını iptal ettiğini görün .

Görmekte olduğunuz hata mesajı, tam olarak hangi ara sertifikanın iptal edildiğini söylüyor. Daha fazla ne bilmek istersin?

— Eric Kuleleri
kaynak

-3

Diğer seçenek ise, hiç kullanmadığınız bir siteye gitmek, örneğin (herhangi bir ingilizce konuşmacı için), https://it.wikipedia.org (italyanca wikipedia) ve geçersiz bir cert açıkça söylendiğinde açıkça globalsign'a güveniyorsunuz. Bu CF düzgün bir şekilde düzeltilinceye kadar sertifika

— Simon
kaynak

3

Bu kötü bir fikir IMO. Sertifika uyarılarını her zaman çok ciddiye alırım ve devam etmiyorum. OP MITM'deydi ve bu uyarıyı sadece kör bir şekilde tıklattılarsa?

— grooveplex

1

Lütfen bunu yapma. Bu sertifika önemli nedenlerden ötürü iptal edilirse, açık bir güven silene kadar sisteminiz bu iptalten yoksayılır. OCSP önbelleğinizi temizlemek, bu sorunu çözmek için çok daha etkili ve güvenli bir yoldur.

— joshperry