Bagaimana cara mengetahui mengapa macOS berpikir bahwa sertifikat dicabut?

42

Saya tidak dapat mengakses Wikipedia di kedua Mac saya. macOS mengatakan bahwa sertifikat perantara yang digunakan untuk menandatangani sertifikat Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) telah dicabut.

masukkan deskripsi gambar di sini

Saya tidak percaya bahwa sertifikat yang dimaksud telah dicabut, jadi saya memeriksa secara manual layanan CRL dan OCSP GlobalSign dan keduanya memberi tahu saya bahwa sertifikat itu OK.

Apakah ada sumber CRL lain yang berpotensi digunakan macOS? Apakah ada cara untuk meminta Kerangka Keamanan untuk memberi tahu saya apa sebenarnya yang salah dengan sertifikat menurut pendapatnya?

security keychain sierra certificate Kiragagin
sumber
juga melihat ini untuk wikipedia / maxcdn / ...
Somatik
1
Saya juga menemukan ini di Mac saya (Sierra) ketika mengunjungi Wikipedia. Ini bekerja pada perangkat iOS saya
Panda
1
Wikipedia sedang menyebarkan di semua situs sertifikat baru yang tidak terpengaruh oleh masalah, saat ini: phabricator.wikimedia.org/T148045
pietrodn
3
Tidak ada jawaban di bawah ini yang mencoba menjawab pertanyaan itu. Mereka semua berusaha mencari jalan keluar ...
klanomath
1
@ klanomath saya katakan begini: semua orang berusaha menghilangkan konsekuensi mengetahui penyebab asli, sedangkan qeustion adalah bagaimana mendiagnosis masalah.
kirelagin

Jawaban:

40

Saya mencoba crlrefresh rpdan juga secara manual menghapus cache OCSP dengan sudo rm /var/db/crls/*cache.dbseperti yang didokumentasikan oleh GlobalSign .

Namun, cache tampaknya berada di lokasi yang berbeda di macOS 10.12 Sierra. Perintah berikut bekerja untuk saya dan menyelesaikan masalah:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Saya juga mencoba menghapus seluruh database, tetapi sepertinya tidak kembali secara otomatis.

Jika tidak yakin, lebih baik pulihkan ~/Library/Keychains/*/ocspcache.sqlite3*(termasuk -shmdan -wal) dari cadangan sebelum server OCSP mulai memberikan balasan yang salah, misalnya dari kemarin.

raimue
sumber
3
Saya menggunakan macOS Sierra, dan perintah sqlite ini memperbaiki masalah bagi saya juga. Saya tidak perlu keluar, atau bahkan keluar dari browser. Saya memang membuat salinan cadangan ocspcache.sqlite3 terlebih dahulu.
Dan Reese
1
Ini memperbaiki masalah Wikipedia di Safari, tetapi Chrome masih memblokir saya.
benr
Masalahnya tampaknya kembali sesekali, tetapi menjalankan kembali perintah itu memperbaikinya lagi.
Dan Reese
Wow, dan dengan "sesekali", maksud saya setiap beberapa menit. Mungkin itu bukan perbaikan nyata.
Dan Reese
1
Ini berfungsi untuk saya di Safari dan juga di Chrome. Chrome membutuhkan restart browser.
pietrodn
19

Mungkin ini, tampaknya GlobalSign punya masalah dengan OCSP mereka. Ini diambil dari twitter mereka ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Kami saat ini mengalami masalah dengan OCSP kami yang menyebabkan pesan peringatan sertifikat. Kami bertujuan untuk memperbaikinya sesegera mungkin.

Dan juga

UPDATE: Jika Anda seorang pengguna MAC, harap bersihkan cache Anda dengan crlrefresh rp

atau Lihat dan / atau Hapus CRL, OCSP Cache

Michael Hansen
sumber
1
Sebenarnya, saya sudah mencoba crlrefresh rpdan sepertinya tidak membantu. Bagaimanapun, apa yang saya cari adalah cara untuk membujuk macOS untuk memberi tahu saya alasan yang tepat mengapa ia berpikir bahwa sertifikat itu buruk (baik itu OCSP atau yang lainnya).
kirelagin
Dampaknya akan tergantung pada apakah masalah hulu telah diselesaikan?
Andre M
Menghapus cache tidak memperbaiki masalah bagi saya, tetapi setidaknya saya memiliki atribusi untuk masalah tersebut.
Jordan Thomas
Sekarang ada semacam siaran pers: globalsign.com/en/customer-revocation-error
Petr Hudeček
0

Sudah mencoba instruksi yang diberikan oleh Global Sign, tetapi itu tidak benar-benar membantu saya.

sudo rm /var/db/crls/*cache.dbSebenarnya tidak membantu karena ada file cache lain crlcache2.dbyang tidak sesuai dengan *cache.dbkriteria.

Solusi saya adalah juga menghapus file ini, dan kemudian reboot.

sudo rm /var/db/crls/crlcache2.db

Saya pikir itu aman sudo rm /var/db/crls/*karena folder hanya menyimpan file cache. Tetapi jika Anda memilih untuk melakukannya, lakukan dengan risiko Anda sendiri.

DawTaylor
sumber
0

MacOS percaya bahwa sertifikat dicabut karena sertifikat perantara dalam rantai kepercayaannya (secara tidak sengaja) dicabut. Lihat Sekrup GlobalSign membatalkan sertifikat HTTPS situs web teratas .

Pesan kesalahan yang Anda lihat memberi tahu Anda sertifikat perantara mana yang dicabut. Apa lagi yang ingin Anda ketahui?

Eric Towers
sumber
-3

Pilihan lainnya adalah pergi ke situs yang tidak pernah Anda gunakan yang menggunakan globalsign, misalnya (untuk penutur bahasa Inggris apa pun) https://it.wikipedia.org (italian wikipedia) dan ketika muncul mengatakan sertifikat tidak valid secara eksplisit mempercayai globalsign. sertifikat hingga CF ini diperbaiki dengan benar

Simon
sumber
3
Ini ide yang buruk, IMO. Saya selalu menerima peringatan sertifikat dengan sangat serius dan saya tidak melanjutkan. Bagaimana jika OP sedang MITM dan mereka hanya membabi buta mengklik peringatan itu?
grooveplex
1
Tolong jangan lakukan ini. Jika sertifikat itu pernah dicabut karena alasan penting maka sistem Anda akan mengabaikan pencabutan itu sampai Anda menghapus kepercayaan eksplisit. Membilas cache OCSP Anda adalah cara yang jauh lebih efektif dan aman untuk menyelesaikan masalah ini.
Joshperry