การอัปเดต Mac OS X Lion 10.7.2 ทำให้ SSL แตก

สรุป

หลังจากอัปเดตจาก 10.7.1 เป็น 10.7.2 Safari และ Google Chrome ไม่สามารถโหลด GMail ได้ หมุนลูกบอลชายหาดรอบตัว

ปัญหาไม่ใช่ GMail Firefox โหลด GMail ได้ดี

ปัญหาไม่ได้ จำกัด อยู่ที่ Safari หรือ Google Chrome เท่านั้น แอปพลิเคชั่นอื่น ๆ มีปัญหากับ SSL: Gilgamesh และ Safari โปรแกรมใด ๆ ที่ใช้ WebKit (Google Chrome, Safari) หรือห้องสมุด Cocoa (Gilgamesh) เพื่อเข้าถึงอินเทอร์เน็ตมีปัญหาในการโหลดเว็บไซต์ที่ปลอดภัย

ฟอรัมต่าง ๆ ออนไลน์แนะนำการแก้ไขจำนวนหนึ่งซึ่งไม่สามารถใช้งานได้

การวิเคราะห์

แก้ไข # 1: เปิดการเข้าถึง Keychain.app และลบใบรับรองที่ไม่รู้จัก

อัปเดต 10.7.2 ยังป้องกันไม่ให้การเข้าถึง Keychain เข้าถึง โปรแกรมพวงกุญแจตัวเองปั่น Beachballs

แก้ไข # 2: ลบ ~ / Library / Keychains / login.keychain และ /Library/Keychains/System.keychain

วิธีนี้จะช่วยแก้ปัญหาชั่วคราวและช่วยให้คุณโหลดไซต์ที่ปลอดภัย แต่เพียงหนึ่งหรือสองนาทีหลังจากรีบูตหรือจำศีลอย่างใดอย่างหนึ่งยกเลิกการแก้ไขอย่างน่าอัศจรรย์ดังนั้นคุณต้องลบไฟล์เหล่านี้ซ้ำแล้วซ้ำอีก

แก้ไข # 3: ลบ ~ / Library / Application \ Support / Mob * และ / Library / Application \ Support / Mob *

มีข่าวลือว่าบริการ MobileMe / iCloud ใหม่ ubd ทำให้เกิดปัญหา การแก้ไขนี้ไม่สามารถแก้ปัญหาได้

แก้ไข # 4: เปิดการเข้าถึงพวงกุญแจเปิดการตั้งค่าและปิดการใช้งาน OCSP และ CRL

การแก้ไขนี้ไม่สามารถแก้ปัญหาได้

แก้ไข # 5: ใช้ 10.7.0 -> 10.7.2 ตัวติดตั้งคอมโบแทนตัวติดตั้ง 10.7.1 -> 10.7.2

เมื่อฉันเรียกใช้ตัวติดตั้งคำสั่งผสมมันจะคงอยู่ตลอดไปที่หน้าจอ "การตรวจสอบความถูกต้องแพคเกจ ... " ตัวติดตั้งคอมโบนั้นติดอยู่กับ He ||

ฉันบังคับให้ออกจากตัวติดตั้งรัน "sudo killall installd" เพื่อบังคับให้ออกจากกระบวนการติดตั้งพื้นหลังและรันโปรแกรมติดตั้งคำสั่งผสมอีกครั้ง

ปัญหาเดียวกัน: มันค้างที่ "Validing Packages ... "

ปะยางรถ

การแก้ไขเพียงอย่างเดียวที่ทำงานได้คือการลบพวงกุญแจ แต่คุณต้องทำเช่นนี้ทุกครั้งที่คุณรีบูตหรือปลุกจากโหมดไฮเบอร์เนต มีหลักฐานบางอย่างที่แสดงว่าไฟล์ ubd เสียหายอย่างต่อเนื่อง แต่การแก้ไข ubd ที่แนะนำในการลบ ~ / Library / Application \ Support / Mob * และ / Library / Application \ Support / Mob * ไม่สามารถแก้ไขปัญหานี้ได้

เห็นได้ชัดว่ามีบางอย่างที่ทำให้พวงกุญแจเสียหายซ้ำแล้วซ้ำอีก

โพสต์ในชุมชนฝ่ายสนับสนุนของ Appleด้วยเช่นกัน

ผู้สนับสนุน Mac ของเราประสบความสำเร็จในการเรียกใช้DiskWarriorเพื่อแก้ไขปัญหา ไม่มีลูกค้ารายใดรายงานว่ามีปัญหาเกิดขึ้นอีก

UPDATE:

ฉันหาวิธีแก้ไขแล้ว ปัญหานี้เกิดขึ้นเนื่องจาก captive portal ตอบกลับทุกอย่าง ฉันปรับ DNS ของพอร์ทัลแบบ Captive เพื่อให้ผลลัพธ์ที่ไม่ดีสำหรับไซต์ OCSP และ CRL ฉันใช้ 127.0.0.1 ในกรณีนี้ คำขอหมดเวลาในขณะนี้แทนที่จะให้ข้อมูลที่ไม่ถูกต้องกลับคืน มันยังทำงานได้ในพื้นที่โดยเปลี่ยน "/ private / etc / hosts" และเพิ่มรายการดังนี้:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

รายการที่ถูกต้องอาจขึ้นอยู่กับ CA สำหรับใบรับรอง ฉันพบที่อยู่เหล่านี้ขณะดูการเชื่อมต่อโดยใช้ Wireshark

ฉันอาจเพิ่ม MobileMe ได้ในขณะนี้เป็น iCloud ดังนั้นโฟลเดอร์ไม่ใช่ Application Support / Mobi * แต่เป็น Application Support / Ubiquity

ลบอย่างนั้นแม้ว่าฉันจะได้ผลลัพธ์ที่หลากหลาย ใช้งานได้เพียง 1/3 ครั้ง วิธีการทำงานที่แน่นอนคือการลบ:

~ / Library / Keychains / login.keychain และ /Library/Keychains/System.keychain

เพียงแค่ล้างและทำซ้ำ ฉันไม่แน่ใจอย่างสมบูรณ์เมื่อการเข้าถึง Keychain จะหยุดลง แต่ในบางจุด (โดยทั่วไปประมาณ 3 วันสำหรับฉัน) ทุกอย่างหยุดทำงาน

Firefox ดูเหมือนจะหลีกเลี่ยงสิ่งต่าง ๆ และหากคุณไม่ต้องการทำอะไรเลยคุณสามารถปิด OCSP ใน Firefox (about: config) เพียงเพื่อเข้าสู่พอร์ทัลไร้สายของคุณและอย่าลืมเปิดใช้งานอีกครั้ง สิ่งนี้จะไม่แก้ไข Safari หรือ Chrome (คำว่าใน Opera คืออะไร)

แต่ทางออกที่ดีที่สุดคือการคืนค่าเป็น 10.7.1 หรือ 10.7 ฉันเคยมีไฟล์ DMG มาก่อนหน้านี้และเป็น 10.7.1 ทำการ "ติดตั้งใหม่" เพียงคัดลอกไฟล์ระบบ Lion ของคุณไปและทำให้การติดตั้งทั้งหมดของคุณอยู่ในรูป ดังนั้นคุณเพียงแค่ติดตั้งระบบปฏิบัติการใหม่ แต่เก็บแอพและข้อมูลทั้งหมดของคุณไว้ จนถึงตอนนี้ได้สมบูรณ์แบบ อย่าลืมอัปเดตเป็น 10.7.2 หากคุณจะย้อนกลับ

การปิดการตรวจสอบ OCSP และ CRL เป็นความคิดที่ไม่ดี โดยพื้นฐานแล้วคุณกำลังบอกว่าคุณไม่สนใจเกี่ยวกับการเพิกถอนใบรับรอง สิ่งนี้ไม่ดีเนื่องจากจำนวนผู้ออกใบรับรองที่ถูกแฮ็กในวันนี้ มันเป็นเหตุผลที่แอปเปิ้ลอัพเกรดความปลอดภัยสำหรับพอร์ทัลเชลย ปัญหาอยู่ในการเชื่อมต่อของพอร์ทัลตัวเอง หากคุณไปที่หนึ่งคุณไม่สามารถตรวจสอบ CRL หรือ OCSP เพราะ (duh!) คุณอยู่ในพอร์ทัลที่ถูกกักขัง ผู้ที่จัดหาพอร์ทัลนี้จะต้องเจาะรูไฟร์วอลล์เพื่ออนุญาตให้คุณออกจากพอร์ทัล captive เพื่อตรวจสอบใบรับรองที่หน้าพอร์ทัล https captive ให้คุณ เราต้องทำสิ่งนี้กับระบบไร้สายขององค์กรของเราก่อนที่ Lion จะสามารถไปได้ทุกที่

หลังจากสัปดาห์แห่งความผิดหวังกับปัญหาที่เกิดขึ้นบ่อยครั้ง (และรอให้ Apple เปิดตัวการแก้ไข) ฉันตัดสินใจที่จะหาวิธีแก้ปัญหาใด ๆ ที่จะย้อนกลับจากการอัปเดต 10.7.2 น่าเสียดายที่ฉันไม่พบวิธีการย้อนกลับไปที่ 10.7.1 หรือ 10.7.0

ฉันจึงตัดสินใจใช้ Lion Recovery และดูว่ามันมีผลต่อสถานการณ์อย่างไร ผมดำเนินการตามขั้นตอนการกู้คืนโดยทำตามขั้นตอนที่ระบุไว้ในบทความนี้สนับสนุนแอปเปิ้ล

ฉันยินดีที่จะแจ้งให้ทราบในขณะนี้ว่าในกรณีของฉันปัญหาได้หายไป (หวังว่า) จะหายไป! ด้วยเหตุผลบางอย่างแม้ว่ากระบวนการกู้คืน Lion จะติดตั้ง OS X กลับไปเป็นเวอร์ชั่น 10.7.2 ฉันยังไม่ได้มีปัญหากับ Keychain หรือ SSL มานานกว่าหนึ่งสัปดาห์แล้ว

ฉันใช้โหมดการกู้คืนออนไลน์และดูเหมือนว่าเวอร์ชั่น OS X ที่ดาวน์โหลดมาในระหว่างกระบวนการกู้คืนจะมีการตั้งค่าบางอย่างที่ไม่ได้ทำให้พวงกุญแจเสียหาย กระบวนการ Lion Recovery นั้นราบรื่นมากและฉันไม่ต้องติดตั้งแอพใด ๆ หรือกู้คืนไฟล์จากการสำรองข้อมูล (ฉันยังคงแนะนำให้ทำการสำรองข้อมูล) MacBook Pro ของฉันคือรุ่น 5,1

นี่เป็นครั้งแรกสำหรับฉันที่การอัปเดตความปลอดภัยของ Apple ได้แตก OS X อย่างมาก ฉันยังสงสัยว่าทำไมพวกเขาถึงไม่ปล่อยตัวแก้ไข / อัปเดตเพื่อแก้ไขปัญหานี้

(YMMV แต่มันใช้งานได้สำหรับฉัน) - ฉันปิดการใช้งานเครือข่ายรีบูตเครื่องเพื่อฆ่าปัญหาเกี่ยวกับพวงกุญแจมิฉะนั้นจะหยุดการเข้าถึง Keychain ไม่จำเป็นต้องลบอะไรเลย จากนั้นฉันปิดการใช้งาน OCSP และ CRL ฉันเปิดใช้งานเครือข่าย ... ฉันเชื่อมต่อกับพอร์ทัลเชลยของฉันแล้วเปิดใช้งานใหม่ทุกอย่าง

ปัญหาคือพอร์ทัลแบบ Captive ต้องการใบรับรอง แต่บล็อกเชนใบรับรอง ขอบคุณสำหรับอีกคนที่แนะนำสิ่งนี้

จากประสบการณ์ของฉันสิ่งนี้จะเกิดขึ้นเฉพาะเมื่อเชื่อมต่อกับพอร์ทัลที่เป็นเชลย ฉันคิดว่าเหตุผลก็คือระบบปฏิบัติการพยายามตรวจสอบความถูกต้องใบรับรองของหน้าเข้าสู่ระบบของพอร์ทัล captive แต่กระบวนการตรวจสอบต้องใช้การเข้าถึงอินเทอร์เน็ต ฉันสามารถแก้ไขปัญหานี้ได้ด้วยการเพิ่มใบรับรองของหน้าพอร์ทัลที่ถูกจับไปที่พวงกุญแจและทำเครื่องหมายว่าเชื่อถือได้เสมอ

คุณสามารถส่งออกใบรับรองด้วยขั้นตอนต่อไปนี้:

1. เยี่ยมชมหน้าพอร์ทัลที่เป็นเชลยใน Firefox
2. เลือก Tools > Page Info > Security > View Certificate > Details > Export
3. บันทึกใบรับรองลงในฮาร์ดไดรฟ์ของคุณด้วยนามสกุล ".crt"

คุณสามารถนำเข้าใบรับรองด้วยขั้นตอนต่อไปนี้:

1. เปิด Keychain Access.app
2. ลากใบรับรองจาก Finder ไปในพวงกุญแจ
3. ดับเบิลคลิกที่ใบรับรองและขยายส่วน "ความน่าเชื่อถือ"
4. เลือก "เมื่อใช้ใบรับรองนี้: Always Trust"
5. ปิดหน้าต่างป๊อปอัพ

หากคุณไม่สามารถเปิด Keychain Access เพราะพวงกุญแจของคุณเสียหายปิดไร้สาย, ลบ~/Library/Keychains/login.keychainและ/Library/Keychains/System.keychainแล้วรีบูต

ฉันพบปัญหา มันเกิดจากการแก้ไขความปลอดภัยใน 10.7.2 (การรักษาความปลอดภัยการแย่งชิงพอร์ทัลการรักษาความปลอดภัย) อาจเป็นไปได้ว่าหนึ่งในเครือข่ายที่คุณเชื่อมต่อมีพอร์ทัลไซต์ซึ่งคุณสามารถป้อนข้อมูลเข้าสู่ระบบ ... สำหรับฉันนั่นคือเครือข่าย WiFi

หากต้องการแก้ปัญหานี้ในตอนนี้ให้ปิดการใช้งานเครือข่ายทั้งหมดรีบูตเริ่มต้นพวงกุญแจไปที่การตั้งค่าใบรับรองปิด OCSP และ CRL รีบูตเปิดใช้งานเครือข่ายของคุณและไปที่นั่น ...

ฉันประสบความสำเร็จโดยทำ "แก้ไข # 2" ตามด้านบน

ในอาคารผู้โดยสาร:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

จากนั้นรีบูตเครื่อง

คำแนะนำในตอนท้ายของhttps://discussions.apple.com/thread/3430739?start=0&tstart=0ดูเหมือนจะบ่งบอกว่าขั้นตอนต่อไปนี้สามารถแก้ไขปัญหาได้: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html