Как определить, почему macOS считает, что сертификат отозван?

42

Я не могу получить доступ к Википедии на обоих компьютерах Mac. macOS говорит, что промежуточный сертификат, используемый для подписи сертификата Википедии ( GlobalSign Organization Validation CA - SHA256 - G2), был отозван.

введите описание изображения здесь

Я не верю, что данный сертификат был отозван, поэтому я проверил вручную сервис CRL и OCSP GlobalSign, и оба сказали мне, что сертификат в порядке.

Существуют ли другие источники CRL, которые потенциально могут использовать macOS? Есть ли способ попросить Security Framework сказать мне, что именно не так с сертификатом по его мнению?

security keychain sierra certificate kirelagin
источник
также видя это для википедии / maxcdn / ...
Соматик
1
Я также сталкивался с этим на моем Mac (Сьерра), когда посещал Википедию. Это работает на моем устройстве iOS, хотя
Panda
1
Википедия развертывает на всех сайтах новый сертификат, на который не влияют
pietrodn
3
Ни один из ответов ниже даже не пытается ответить на вопрос. Все они пытаются найти
обходной путь
1
@klanomath Я бы сказал так: все пытаются устранить последствия, зная первоначальную причину, а вопрос о том, как диагностировать проблему, - это исчерпание.
Кирелагин

Ответы:

40

Я попытался, crlrefresh rpа также вручную удалить кэш OCSP с помощью, sudo rm /var/db/crls/*cache.dbкак задокументировано GlobalSign .

Однако, кеш, похоже, находится в другом месте на macOS 10.12 Sierra. Следующая команда сработала для меня и решила проблему:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Я также попытался удалить всю базу данных, но она не возвращается автоматически.

Если вы не уверены, лучше просто восстановить ~/Library/Keychains/*/ocspcache.sqlite3*(включая -shmи -wal) из резервной копии, прежде чем серверы OCSP начали давать неправильные ответы, например, со вчерашнего дня.

raimue
источник
3
Я использую macOS Sierra, и эта команда sqlite исправила проблему и для меня. Мне не нужно было выходить из системы или даже выходить из браузера. Сначала я сделал резервную копию ocspcache.sqlite3.
Дэн Риз
1
Это исправило проблему с Википедией в Safari, но Chrome все еще блокирует меня.
Бен
Кажется, что проблема иногда возвращается, но повторное выполнение этой команды исправляет ее снова.
Дэн Риз
Ух ты, а под "изредка" я подразумеваю примерно каждые несколько минут. Может быть, это не совсем то, что нужно.
Дэн Риз
1
Это работает для меня на Safari, а также на Chrome. Хрому понадобился перезапуск браузера.
Петродн
19

Возможно, это так, кажется, у GlobalSign возникла проблема с их OCSP. Это взято из их твиттера ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

В настоящее время у нас возникают проблемы с нашим OCSP, который вызывает предупреждения о сертификатах. Мы стремимся исправить это как можно скорее.

А также

ОБНОВЛЕНИЕ: Если вы пользователь MAC, очистите кэш с помощью crlrefresh rp

или просмотреть и / или удалить CRL, кэш OCSP

Майкл Хансен
источник
1
На самом деле я уже пытался, crlrefresh rpи это, кажется, не помогает. В любом случае, я ищу способ убедить macOS сообщить мне точную причину, по которой он считает, что сертификат плохой (будь то OCSP или что-то еще).
Кирелагин
Воздействие, вероятно, будет зависеть от того, были ли решены проблемы верхнего уровня?
Андре М
Очистка кешей не помогла мне решить проблему, но, по крайней мере, у меня есть ссылка на проблему.
Джордан Томас,
Сейчас есть своего рода пресс-релиз: globalsign.com/en/customer-revocation-error
Петр
0

Пробовал инструкцию, предоставленную Global Sign, но она мне не очень помогла.

sudo rm /var/db/crls/*cache.dbНа самом деле не помогло, потому что есть еще один файл кэша, crlcache2.dbкоторый не соответствует *cache.dbкритериям.

Мое решение было также удалить этот файл, а затем перезагрузить компьютер.

sudo rm /var/db/crls/crlcache2.db

Я думаю, что это безопасно, sudo rm /var/db/crls/*потому что папка содержит только файлы кэша. Но если вы решили сделать это, делайте это на свой страх и риск.

DawTaylor
источник
0

MacOS считает, что сертификат был отозван, потому что промежуточный сертификат в его цепочке доверия был (случайно) отозван. Посмотрите, что провал GlobalSign отменяет сертификаты HTTPS ведущих веб-сайтов .

Сообщение об ошибке, которое вы видите, сообщает вам, какой промежуточный сертификат был отозван. Что еще вы хотели бы знать?

Эрик Тауэрс
источник
-3

Другой вариант - перейти на сайт, который вы никогда не используете и который использует globalsign, например (для любых носителей английского языка) https://it.wikipedia.org (итальянская википедия), и когда он появляется, говоря, что недействительный сертификат явно доверяет globalsign сертификат, пока этот CF не будет исправлен

Саймон
источник
3
Это плохая идея, ИМО. Я всегда очень серьезно отношусь к предупреждениям о сертификатах и ​​не продолжаю. Что, если OP был MITM'd, и они просто слепо щелкнули через это предупреждение?
Grooveplex
1
Пожалуйста, не делай этого. Если этот сертификат когда-либо был отозван по важным причинам, ваша система будет игнорировать этот отзыв, пока вы не удалите явное доверие. Очистка кэша OCSP - гораздо более эффективный и безопасный способ решения этой проблемы.
Джошперри