Wie kann man feststellen, warum macOS der Meinung ist, dass ein Zertifikat widerrufen wurde?

42

Ich kann auf beiden Macs nicht auf Wikipedia zugreifen. macOS gibt an, dass das Zwischenzertifikat zum Signieren des Wikipedia-Zertifikats ( GlobalSign Organization Validation CA - SHA256 - G2) widerrufen wurde.

Bildbeschreibung hier eingeben

Ich glaube nicht, dass das fragliche Zertifikat widerrufen wurde. Deshalb habe ich die CRL und den OCSP-Dienst von GlobalSign manuell überprüft und mir beide mitgeteilt, dass das Zertifikat in Ordnung ist.

Gibt es andere Quellen für CRLs, die macOS möglicherweise verwenden kann? Gibt es eine Möglichkeit, das Security Framework zu bitten, mir mitzuteilen, was genau aus seiner Sicht mit dem Zertifikat nicht stimmt?

security keychain sierra certificate kirelagin
quelle
siehe auch für Wikipedia / Maxcdn / ...
Somatik
1
Ich habe dies auch auf meinem Mac (Sierra) beim Besuch von Wikipedia festgestellt. Es funktioniert jedoch auf meinem iOS-Gerät
Panda
1
Wikipedia stellt auf allen Websites ein neues Zertifikat bereit, das im Moment nicht von Problemen betroffen ist: phabricator.wikimedia.org/T148045
pietrodn 13.10.16
3
Keine der folgenden Antworten versucht, die Frage zu beantworten. Alle versuchen, eine
Lösung
1
@klanomath Ich würde es so ausdrücken: Jeder versucht, die Konsequenzen zu beseitigen, indem er die ursprüngliche Ursache kennt, während die Frage lautet, wie das Problem zu diagnostizieren ist.
kirelagin

Antworten:

40

Ich habe versucht, crlrefresh rpden OCSP-Cache manuell zu löschen, sudo rm /var/db/crls/*cache.dbwie von GlobalSign dokumentiert .

Unter macOS 10.12 Sierra scheint sich der Cache jedoch an einer anderen Stelle zu befinden. Der folgende Befehl hat bei mir funktioniert und das Problem behoben:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Ich habe auch versucht, die gesamte Datenbank zu löschen, aber sie scheint nicht automatisch zurückzukehren.

Wenn Sie sich nicht sicher sind, stellen Sie es besser einfach ~/Library/Keychains/*/ocspcache.sqlite3*(einschließlich -shmund -wal) aus einer Sicherung wieder her, bevor die OCSP-Server falsche Antworten gaben, beispielsweise von gestern.

raimue
quelle
3
Ich verwende macOS Sierra, und dieser SQLite-Befehl hat das Problem auch für mich behoben. Ich musste mich nicht ausloggen oder den Browser verlassen. Ich habe zuerst eine Sicherungskopie von ocspcache.sqlite3 erstellt.
Dan Reese
1
Dies hat das Wikipedia-Problem in Safari behoben, aber Chrome blockiert mich immer noch.
13.
Das Problem scheint gelegentlich wieder aufzutreten, aber die erneute Ausführung dieses Befehls behebt es erneut.
Dan Reese
Wow, und mit "gelegentlich" meine ich ungefähr alle paar Minuten. Vielleicht ist das doch keine wirkliche Lösung.
Dan Reese
1
Es funktioniert für mich auf Safari und auch auf Chrome. Chrome brauchte einen Neustart des Browsers.
Pietrodn
19

Möglicherweise hat GlobalSign ein Problem mit der OCSP. Dies wird von ihrem Twitter genommen ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Derzeit treten Probleme mit unserer OCSP auf, die Zertifikatswarnmeldungen verursachen. Wir bemühen uns, dies so schnell wie möglich zu beheben.

Und auch

UPDATE: Wenn Sie ein MAC-Benutzer sind, leeren Sie bitte Ihren Cache mit crlrefresh rp

oder CRL, OCSP-Cache anzeigen und / oder löschen

Michael Hansen
quelle
1
Eigentlich habe ich es schon versucht crlrefresh rpund es scheint nicht zu helfen. Was ich jedenfalls suche, ist eine Möglichkeit, macOS davon zu überzeugen, mir den genauen Grund zu nennen, warum das Zertifikat als schlecht eingestuft wird (sei es OCSP oder etwas anderes).
kirelagin
Die Auswirkungen hängen wahrscheinlich davon ab, ob die vorgelagerten Probleme gelöst wurden.
Andre M
Das Löschen von Caches hat das Problem für mich nicht behoben, aber ich habe zumindest eine Zuschreibung für das Problem.
Jordan Thomas
Es gibt jetzt eine Art Pressemitteilung: globalsign.com/en/customer-revocation-error
Petr Hudeček
0

Versuchte die Anweisung von Global Sign, aber es hat mir nicht wirklich geholfen.

sudo rm /var/db/crls/*cache.dbHat nicht wirklich geholfen, weil es eine andere Cache-Datei gibt, crlcache2.dbdie nicht den *cache.dbKriterien entspricht.

Meine Lösung bestand darin, auch diese Datei zu entfernen und dann neu zu starten.

sudo rm /var/db/crls/crlcache2.db

Ich denke, es ist sicher, sudo rm /var/db/crls/*weil der Ordner nur Cache-Dateien enthält. Aber wenn Sie sich dafür entschieden haben, tun Sie dies auf Ihr eigenes Risiko.

DawTaylor
quelle
-3

Die andere Möglichkeit ist, zu einer Site zu gehen, die Sie nie benutzen und die globalsign verwendet, zum Beispiel (für alle englischsprachigen Benutzer) https://it.wikipedia.org (italienisch wikipedia) Zertifikat, bis diese CF richtig behoben ist

Simon
quelle
3
Das ist eine schlechte Idee, IMO. Ich nehme Zertifikatswarnungen immer sehr ernst und fahre nicht fort. Was wäre, wenn das OP MITM würde und sie einfach blind durch diese Warnung klickten?
Grooveplex
1
Bitte tu das nicht. Wenn dieses Zertifikat aus wichtigen Gründen jemals widerrufen wird, ignoriert Ihr System diesen Widerruf, bis Sie die explizite Vertrauensstellung löschen. Das Leeren Ihres OCSP-Caches ist eine viel effektivere und sicherere Möglichkeit, dieses Problem zu beheben.
Joshperry