Pembaruan Mac OS X Lion 10.7.2 memecah SSL

14

Ringkasan

Setelah memperbarui dari 10.7.1 ke 10.7.2, baik Safari maupun Google Chrome tidak dapat memuat GMail. Beachballs berputar di sekitar.

Masalahnya bukan GMail; Firefox memuat GMail dengan baik.

Masalahnya tidak terbatas pada Safari atau Google Chrome; Aplikasi lain juga mengalami masalah dengan SSL: Gilgamesh dan Safari. Program apa pun yang menggunakan WebKit (Google Chrome, Safari) atau perpustakaan Cocoa (Gilgamesh) untuk mengakses Internet mengalami masalah saat memuat situs yang aman.

Berbagai forum online menyarankan beberapa perbaikan, tidak ada yang berhasil.

Analisis

Perbaiki # 1: Buka Keychain Access.app dan hapus sertifikat Tidak Dikenal.

Pembaruan 10.7.2 juga mencegah Akses Keychain dari pemuatan. Program Keychain itu sendiri Spinning Beachballs.

Perbaiki # 2: Hapus ~ / Library / Gantungan Kunci / login.keychain dan /Library/Keychains/System.keychain.

Ini untuk sementara menyelesaikan masalah, dan memungkinkan Anda memuat situs-situs yang aman, tetapi satu atau dua menit setelah reboot atau hibernasi entah bagaimana secara ajaib membatalkan perbaikan, jadi Anda harus menghapus file-file ini berulang kali.

Perbaiki # 3: Hapus ~ / Library / Application \ Support / Mob * dan / Library / Application \ Support / Mob *.

Ada desas-desus bahwa layanan MobileMe / iCloud baru yang menyebabkan masalah ini. Perbaikan ini tidak menyelesaikan masalah.

Perbaiki # 4: Buka Akses Gantungan Kunci, buka Preferensi, dan nonaktifkan OCSP dan CRL.

Perbaikan ini tidak menyelesaikan masalah.

Perbaiki # 5: Gunakan pemasang kombo 10.7.0 -> 10.7.2, daripada penginstal 10.7.1 -> 10.7.2.

Ketika saya menjalankan pemasang kombo , itu tetap selamanya di layar "Paket Validasi ...". Penginstal kombo sendiri disadap ke He ||.

http://speely.files.wordpress.com/2011/10/validating-packages.png

Saya paksa keluar dari penginstal, jalankan "sudo killall installd" untuk keluar dari proses penginstal latar belakang, dan putar ulang penginstal kombo.

Masalah yang sama: berhenti di "Paket Validasi ..."

Rekap

Satu-satunya perbaikan yang berfungsi adalah menghapus gantungan kunci, tetapi Anda harus melakukan ini setiap kali Anda reboot atau bangun dari hibernate. Ada beberapa bukti bahwa ubd terus-menerus merusak file-file gantungan kunci, tetapi perbaikan ubd yang disarankan untuk menghapus ~ / Library / Application \ Support / Mob * dan / Library / Application \ Support / Mob * tidak menyelesaikan masalah ini.

Jelas, ada sesuatu yang merusak gantungan kunci berulang-ulang.

Juga diposting di Komunitas Dukungan Apple .

mcandre
sumber
beberapa masalah di sini di MacBookPro dan iMac27 saya, tetapi itu hanya terjadi ketika saya mengaktifkan WiFi. Selama saya bekerja hanya melalui LAN semuanya baik-baik saja. Harus tetap menggunakan 10.7.0 selama masalah ini tidak terpecahkan :-(
Thomas Hübner
Tidak mencoba "saya juga" di sini, tetapi gmail berfungsi dengan baik untuk saya di 10.7.2 dan safari 5.1.2. Pengaya seperti apa yang Anda jalankan di Safari? Glims, click2flash, dll?
skub
Apakah ini diperbaiki pada 10.7.3?
Tyilo

Jawaban:

2

Orang dukungan Mac kami telah berhasil menjalankan DiskWarrior untuk memperbaiki masalah. Tidak ada satu pun pelanggannya yang melaporkan masalah yang muncul sejauh ini.

MEMPERBARUI:

Saya sudah menemukan solusi. Masalah ini terjadi karena portal captive membalas ke SEMUANYA. Saya menyesuaikan DNS captive portal untuk memberikan hasil yang buruk untuk situs OCSP dan CRL. Saya menggunakan 127.0.0.1 dalam hal ini. Permintaan sekarang habis daripada memberikan kembali data yang salah. Ia juga bekerja secara lokal dengan mengubah "/ private / etc / hosts" dan menambahkan entri seperti ini:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Entri yang benar mungkin tergantung pada CA untuk sertifikat. Saya menemukan alamat-alamat ini sambil menonton koneksi menggunakan Wireshark.

Yusuf
sumber
Apakah Disk Utility atau Onyx membantu, atau harus DiskWarrior?
mcandre
@ mcandre Kami masih berusaha mencari tahu apa yang DiskWarrior lakukan untuk memperbaiki masalah. Tidak jelas dari file log yang dihasilkannya.
Joseph
2

Mungkin saya menambahkan bahwa MobileMe sekarang iCloud sehingga folder tersebut bukan Aplikasi Dukungan / Mobi *, melainkan Dukungan Aplikasi / Ubiquity.

Hapus itu, meskipun saya mendapat hasil yang beragam. Itu hanya bekerja 1/3 kali. Cara yang pasti berhasil adalah menghapus:

~ / Library / Gantungan Kunci / login.keychain dan /Library/Keychains/System.keychain

Cukup bilas dan ulangi. Saya tidak sepenuhnya yakin kapan Akses Rantai Kunci akan rusak, tetapi pada titik tertentu (biasanya sekitar 3 hari untuk saya) semuanya berhenti berfungsi.

Firefox tampaknya mengatasi berbagai hal dan jika Anda tidak ingin melakukan apa pun, Anda dapat mematikan OCSP di Firefox (about: config) hanya untuk masuk ke portal nirkabel Anda, dan kemudian ingat untuk menyalakannya kembali. Ini tidak akan memperbaiki Safari atau Chrome (apa kata di Opera?)

Tetapi solusi terbaik adalah mengembalikan ke 10.7.1 atau 10.7. Saya kebetulan memiliki file DMG dari sebelumnya dan itu 10.7.1. Melakukan "instal ulang" hanya menyalin file sistem Lion Anda dan menjaga seluruh instal Anda tetap dalam kondisi. Jadi Anda benar-benar hanya menginstal ulang OS tetapi menjaga SEMUA aplikasi dan data Anda. Sejauh ini ini sempurna. Ingatlah untuk tidak memperbarui ke 10.7.2 jika Anda ingin mundur.

qwerasdf
sumber
Situs SSL yang tidak berfungsi untuk saya dengan Safari atau Chrome berfungsi untuk saya dengan Firefox, hanya dengan menggunakan browser itu.
RyanWilcox
Itu karena Firefox menggunakan metode otentikasi yang berbeda dari Safari atau Chrome. Namun itu tidak 100% dapat diandalkan untuk saya di 10.7.2. Terkadang saya bisa membuka halaman login untuk portal captive saya di sekolah. Lain kali saya tidak bisa. Cara teraman adalah memutar kembali ke 10.7.1. Saya sudah menggunakan 10.7.1 selama sekitar 3 minggu sekarang dibandingkan dengan 1+ bulan dengan 10.7.2 dan ini siang dan malam. Tidak ada lagi reboot dan penghapusan file yang konstan untuk membuat barang-barang berfungsi. Mari berharap 10.7.3 memperbaiki hal-hal.
qwerasdf
1

Mematikan pemeriksaan OCSP dan CRL adalah ide yang sangat buruk. Pada dasarnya Anda mengatakan Anda tidak peduli tentang pencabutan sertifikat. Ini tidak baik mengingat jumlah otoritas sertifikat yang diretas hari ini. Itu sebabnya mengapa apel meningkatkan keamanannya untuk portal tawanan. Masalahnya adalah koneksi captive portal itu sendiri. Jika Anda pergi ke satu, Anda tidak dapat memeriksa CRL atau OCSP karena (ya!) Anda di captive portal. Siapa pun yang menyediakan portal ini, juga harus membuat lubang di firewall mereka untuk memungkinkan Anda keluar dari portal captive untuk memeriksa sertifikat yang diberikan halaman portal captive https kepada Anda. Kami harus melakukan ini pada sistem nirkabel perusahaan kami sebelum Lion bisa pergi ke mana pun.

Bruce
sumber
1

Setelah berminggu-minggu frustrasi dengan masalah yang terus berulang ini (dan menunggu Apple merilis perbaikan), saya memutuskan untuk mencari solusi apa pun yang akan mundur dari pembaruan 10.7.2. Sayangnya saya tidak menemukan cara untuk melakukan rollback ke 10.7.1 atau 10.7.0.

Karena itu saya memutuskan untuk menggunakan Pemulihan Singa dan melihat bagaimana pengaruhnya terhadap situasi. Saya melakukan prosedur pemulihan dengan mengikuti langkah-langkah yang dijelaskan dalam artikel dukungan Apple ini .

Saya senang memberi tahu sekarang bahwa dalam kasus saya, masalahnya telah (semoga) hilang! Untuk beberapa alasan, meskipun proses Lion Recovery menginstal ulang OS X kembali ke versi 10.7.2, saya belum memiliki masalah dengan Keychain atau SSL selama lebih dari seminggu sekarang.

Saya menggunakan mode pemulihan online dan tampaknya versi OS X yang diunduh selama proses pemulihan memang memiliki semacam pengaturan yang tidak merusak gantungan kunci. Proses Lion Recovery sangat mulus dan saya tidak perlu menginstal ulang aplikasi atau memulihkan file dari cadangan (saya masih merekomendasikan untuk melakukan backup). MacBook Pro saya adalah versi 5,1.

Ini adalah pertama kalinya bagi saya bahwa pembaruan keamanan Apple telah merusak OS X sedemikian besar. Saya masih bertanya-tanya mengapa mereka belum merilis perbaikan / pembaruan untuk memperbaiki masalah ini.

Liukas Pyry
sumber
Pembaruan: Lion Recovery tidak menyediakan perbaikan permanen. Saya dapat menggunakan Safari / Chrome selama beberapa minggu ketika masalah terulang kembali. Jadi saya sedih melaporkan bahwa ini tidak memberikan perbaikan permanen seperti yang saya harapkan :(
Pyry Liukas
1

(YMMV tapi itu berhasil untuk saya) - Saya menonaktifkan jaringan, reboot untuk membunuh masalah gantungan kunci atau membekukan Akses Keychain, tidak perlu menghapus apa pun. Kemudian, saya menonaktifkan OCSP dan CRL. Saya mengaktifkan jaringan ... Saya terhubung ke portal captive saya, dan kemudian mengaktifkan kembali semuanya.

Masalahnya adalah captive portal membutuhkan sertifikat, tetapi memblokir rantai sertifikat. Terima kasih untuk yang lain menyarankan ini.

Sakamura
sumber
1

Dalam pengalaman saya ini hanya terjadi ketika menghubungkan di belakang captive portal. Saya pikir alasannya adalah bahwa sistem operasi mencoba untuk memvalidasi sertifikat halaman login captive portal, tetapi proses validasi memerlukan akses internet. Saya dapat memperbaiki masalah ini dengan menambahkan secara manual sertifikat laman portal tawanan ke gantungan kunci dan menandainya sebagai selalu dipercaya.

Anda dapat mengekspor sertifikat dengan langkah-langkah berikut:

  1. Kunjungi halaman portal captive di Firefox
  2. Pilih Tools > Page Info > Security > View Certificate > Details > Export
  3. Simpan sertifikat ke hard drive Anda dengan ekstensi ".crt"

Anda dapat mengimpor sertifikat dengan langkah-langkah berikut:

  1. Buka Keychain Access.app
  2. Seret sertifikat dari Finder ke gantungan kunci
  3. Klik dua kali pada sertifikat dan luaskan bagian "Kepercayaan"
  4. Pilih "Saat menggunakan sertifikat ini: Always Trust"
  5. Tutup jendela sembulan

Jika Anda tidak dapat membuka Akses Keychain karena gantungan kunci Anda rusak, matikan nirkabel, hapus ~/Library/Keychains/login.keychaindan /Library/Keychains/System.keychain, lalu reboot.

Jonathan Potter
sumber
0

Saya menemukan masalahnya. Ini disebabkan oleh perbaikan keamanan di 10.7.2 (Security Captive Portal Hijacking). Kemungkinan salah satu jaringan yang terhubung dengan Anda memiliki situs portal, tempat Anda dapat memasukkan data masuk ... bagi saya itu adalah jaringan WiFi.

Untuk mengatasi masalah ini untuk saat ini, nonaktifkan semua jaringan, reboot, mulai gantungan kunci, buka preferensi, sertifikat, matikan OCSP dan CRL. Mulai ulang, aktifkan jaringan Anda dan itulah ...

Thomas Hübner
sumber
1
Terima kasih, tetapi menonaktifkan OCSP dan CRL tidak berhasil untuk saya. Juga, gantungan kunci itu terus merusak dirinya sendiri.
mcandre
0

Saya berhasil dengan melakukan "memperbaiki # 2" seperti di atas.

Di Terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

dan kemudian reboot.

Riotaro OKADA
sumber
2
Atau, untuk saat ini login-in pengguna: cd ~/Library/keychains. Juga, saya tidak tahu dari mana removeperintah Anda berasal, tetapi itu tidak standar. rm login.keychainbekerja pada Mac apa saja.
Arjan