Saya tidak dapat mengakses Wikipedia di kedua Mac saya. macOS mengatakan bahwa sertifikat perantara yang digunakan untuk menandatangani sertifikat Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2
) telah dicabut.
Saya tidak percaya bahwa sertifikat yang dimaksud telah dicabut, jadi saya memeriksa secara manual layanan CRL dan OCSP GlobalSign dan keduanya memberi tahu saya bahwa sertifikat itu OK.
Apakah ada sumber CRL lain yang berpotensi digunakan macOS? Apakah ada cara untuk meminta Kerangka Keamanan untuk memberi tahu saya apa sebenarnya yang salah dengan sertifikat menurut pendapatnya?
security
keychain
sierra
certificate
Kiragagin
sumber
sumber
Jawaban:
Saya mencoba
crlrefresh rp
dan juga secara manual menghapus cache OCSP dengansudo rm /var/db/crls/*cache.db
seperti yang didokumentasikan oleh GlobalSign .Namun, cache tampaknya berada di lokasi yang berbeda di macOS 10.12 Sierra. Perintah berikut bekerja untuk saya dan menyelesaikan masalah:
Saya juga mencoba menghapus seluruh database, tetapi sepertinya tidak kembali secara otomatis.
Jika tidak yakin, lebih baik pulihkan
~/Library/Keychains/*/ocspcache.sqlite3*
(termasuk-shm
dan-wal
) dari cadangan sebelum server OCSP mulai memberikan balasan yang salah, misalnya dari kemarin.sumber
Mungkin ini, tampaknya GlobalSign punya masalah dengan OCSP mereka. Ini diambil dari twitter mereka ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
Dan juga
atau Lihat dan / atau Hapus CRL, OCSP Cache
sumber
crlrefresh rp
dan sepertinya tidak membantu. Bagaimanapun, apa yang saya cari adalah cara untuk membujuk macOS untuk memberi tahu saya alasan yang tepat mengapa ia berpikir bahwa sertifikat itu buruk (baik itu OCSP atau yang lainnya).Sudah mencoba instruksi yang diberikan oleh Global Sign, tetapi itu tidak benar-benar membantu saya.
sudo rm /var/db/crls/*cache.db
Sebenarnya tidak membantu karena ada file cache laincrlcache2.db
yang tidak sesuai dengan*cache.db
kriteria.Solusi saya adalah juga menghapus file ini, dan kemudian reboot.
sudo rm /var/db/crls/crlcache2.db
Saya pikir itu aman
sudo rm /var/db/crls/*
karena folder hanya menyimpan file cache. Tetapi jika Anda memilih untuk melakukannya, lakukan dengan risiko Anda sendiri.sumber
MacOS percaya bahwa sertifikat dicabut karena sertifikat perantara dalam rantai kepercayaannya (secara tidak sengaja) dicabut. Lihat Sekrup GlobalSign membatalkan sertifikat HTTPS situs web teratas .
Pesan kesalahan yang Anda lihat memberi tahu Anda sertifikat perantara mana yang dicabut. Apa lagi yang ingin Anda ketahui?
sumber
Pilihan lainnya adalah pergi ke situs yang tidak pernah Anda gunakan yang menggunakan globalsign, misalnya (untuk penutur bahasa Inggris apa pun) https://it.wikipedia.org (italian wikipedia) dan ketika muncul mengatakan sertifikat tidak valid secara eksplisit mempercayai globalsign. sertifikat hingga CF ini diperbaiki dengan benar
sumber