จะบอกได้อย่างไรว่าทำไม macOS คิดว่าใบรับรองถูกเพิกถอน

42

ฉันไม่สามารถเข้าถึง Wikipedia บนเครื่อง Mac ของฉัน macOS กล่าวว่าใบรับรองกลางที่ใช้ในการลงนามใบรับรองของ Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) ได้ถูกเพิกถอนแล้ว

ฉันไม่เชื่อว่าใบรับรองที่เป็นปัญหาถูกเพิกถอนดังนั้นฉันจึงตรวจสอบบริการ CRL และ OCSP ด้วยตนเองของ GlobalSign และทั้งคู่บอกฉันว่าใบรับรองนั้นใช้ได้

มีแหล่งอื่น ๆ ของ CRL ที่ macOS สามารถใช้หรือไม่ มีวิธีใดที่จะขอให้ Security Framework บอกฉันว่าเกิดอะไรขึ้นกับใบรับรองในความคิดเห็นของฉัน

— kirelagin
แหล่งที่มา

ยังเห็นสิ่งนี้สำหรับ wikipedia / maxcdn / ...

— Somatik

1

ฉันได้พบสิ่งนี้บน Mac ของฉัน (เซียร่า) เมื่อไปที่ Wikipedia มันใช้งานได้กับอุปกรณ์ iOS ของฉัน

— Panda

1

วิกิพีเดียกำลังปรับใช้ใบรับรองใหม่ที่ไม่ได้รับผลกระทบจากปัญหาในทุกไซต์ในขณะนี้: phabricator.wikimedia.org/T148045

— pietrodn

3

ไม่มีคำตอบด้านล่างใด ๆ แม้แต่พยายามตอบคำถาม พวกเขาทั้งหมดพยายามหางานทำ ...

— klanomath

1

@ kanomath ฉันจะทำแบบนี้: ทุกคนพยายามขจัดผลที่เกิดขึ้นจากการรู้สาเหตุดั้งเดิมในขณะที่ qeustion เป็นวิธีการวินิจฉัยปัญหา

— kirelagin

40

ฉันพยายามcrlrefresh rpและตนเองลบแคช OCSP กับsudo rm /var/db/crls/*cache.dbเป็นเอกสารโดย GlobalSign

อย่างไรก็ตามแคชดูเหมือนว่าจะอยู่ในตำแหน่งที่แตกต่างกันใน macOS 10.12 Sierra คำสั่งต่อไปนี้ใช้งานได้สำหรับฉันและแก้ไขปัญหา:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

ฉันพยายามลบฐานข้อมูลทั้งหมดด้วย แต่ดูเหมือนว่าจะไม่กลับมาโดยอัตโนมัติ

หากไม่แน่ใจให้คืนค่าที่ดีกว่า~/Library/Keychains/*/ocspcache.sqlite3*(รวมถึง-shmและ-wal) จากการสำรองข้อมูลก่อนที่เซิร์ฟเวอร์ OCSP จะเริ่มตอบกลับอย่างไม่ถูกต้องตัวอย่างเช่นเมื่อวานนี้

— raimue
แหล่งที่มา

3

ฉันใช้ macOS Sierra และคำสั่ง sqlite นี้แก้ไขปัญหาให้ฉันด้วย ฉันไม่จำเป็นต้องออกจากระบบหรือออกจากเบราว์เซอร์ ฉันทำสำเนาสำรองของ ocspcache.sqlite3 ก่อน

— Dan Reese

1

นี่เป็นการแก้ไขปัญหา Wikipedia บน Safari แต่ Chrome ยังบล็อกฉันอยู่

— benr

ดูเหมือนว่าปัญหาจะกลับมาเป็นครั้งคราว แต่การเรียกใช้คำสั่งนั้นจะแก้ไขได้อีกครั้ง

— Dan Reese

ว้าวและด้วย "บางครั้ง" ฉันหมายถึงทุก ๆ สองสามนาที บางทีนั่นอาจไม่ใช่การแก้ไขที่แท้จริงหลังจากทั้งหมด

— Dan Reese

1

มันทำงานได้ดีสำหรับฉันบน Safari และบน Chrome Chrome จำเป็นต้องรีสตาร์ทเบราว์เซอร์

— pietrodn

19

อาจเป็นเช่นนี้ดูเหมือนว่า GlobalSign มีปัญหากับ OCSP ของพวกเขา สิ่งนี้นำมาจาก twitter ของพวกเขา ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

ขณะนี้เรากำลังประสบปัญหากับ OCSP ของเราซึ่งเป็นสาเหตุของข้อความเตือนใบรับรอง เรามุ่งมั่นที่จะแก้ไขปัญหานี้โดยเร็วที่สุด

และนอกจากนี้ยังมี

อัปเดต: หากคุณเป็นผู้ใช้ MAC โปรดล้างแคชด้วย crlrefresh rp

หรือดูและ / หรือลบ CRL, OCSP Cache

— Michael Hansen
แหล่งที่มา

1

จริง ๆ แล้วฉันได้ลองแล้วcrlrefresh rpและดูเหมือนจะไม่ช่วย อย่างไรก็ตามสิ่งที่ฉันกำลังมองหาคือวิธีการชักชวน macOS เพื่อบอกเหตุผลที่แน่นอนว่าทำไมมันจึงคิดว่าใบรับรองไม่ดี (ไม่ว่าจะเป็น OCSP หรืออย่างอื่น)

— kirelagin

ผลกระทบน่าจะขึ้นอยู่กับว่าปัญหาต้นน้ำได้รับการแก้ไขแล้วหรือยัง?

— อังเดร M

การล้างแคชไม่ได้ช่วยแก้ปัญหาสำหรับฉัน แต่อย่างน้อยฉันก็มีการระบุแหล่งที่มาของปัญหา

— Jordan Thomas

ขณะนี้มีการแถลงข่าวแปลก ๆ : globalsign.com/en/customer-revocation-error

— Petr Hudeček

0

ลองใช้คำแนะนำจาก Global Sign แต่มันไม่ได้ช่วยฉันจริงๆ

sudo rm /var/db/crls/*cache.dbไม่ได้ช่วยจริงเพราะมีไฟล์แคชอื่นcrlcache2.dbซึ่งไม่ตรงกับ*cache.dbเกณฑ์

ทางออกของฉันคือการลบไฟล์นี้แล้วรีบูต

sudo rm /var/db/crls/crlcache2.db

ฉันคิดว่ามันปลอดภัยsudo rm /var/db/crls/*เพราะโฟลเดอร์เก็บไฟล์แคชเท่านั้น แต่ถ้าคุณเลือกที่จะทำมันทำตามความเสี่ยงของคุณเอง

— DawTaylor
แหล่งที่มา

0

MacOS เชื่อว่าใบรับรองถูกเพิกถอนเนื่องจากใบรับรองกลางในห่วงโซ่แห่งความเชื่อถือนั้นถูกเพิกถอน (โดยไม่ตั้งใจ) ดูGlobalSign กรูขึ้นยกเลิกเว็บไซต์ชั้นนำใบรับรอง

ข้อความแสดงข้อผิดพลาดที่คุณเห็นกำลังบอกคุณว่าใบรับรองระดับกลางใดถูกเพิกถอน คุณต้องการรู้อะไรอีก

— Eric Towers
แหล่งที่มา

-3

อีกตัวเลือกหนึ่งคือไปที่ไซต์ที่คุณไม่เคยใช้ที่ใช้ globalsign เช่น (สำหรับผู้พูดภาษาอังกฤษ) https://it.wikipedia.org (Italian wikipedia) และเมื่อพูดถึงใบรับรองที่ไม่ถูกต้องให้เชื่อมั่นใน globalsign อย่างชัดเจน ใบรับรองจนกว่า CF นี้จะได้รับการแก้ไขอย่างถูกต้อง

— ไซมอน
แหล่งที่มา

3

นี่เป็นความคิดที่ไม่ดี IMO ฉันมักจะเตือนใบรับรองอย่างจริงจังและไม่ดำเนินการต่อ เกิดอะไรขึ้นถ้า OP เป็น MITM และพวกเขาแค่คลิกสุ่มสี่สุ่มห้าผ่านการเตือนนั้น

— grooveplex

1

โปรดอย่าทำเช่นนี้ หากใบรับรองนั้นถูกเพิกถอนด้วยเหตุผลสำคัญระบบของคุณจะเพิกเฉยต่อการเพิกถอนนั้นจนกว่าคุณจะลบความไว้วางใจที่ชัดแจ้ง การล้างแคช OCSP ของคุณเป็นวิธีที่มีประสิทธิภาพและปลอดภัยยิ่งขึ้นในการแก้ไขปัญหานี้

— joshperry