Warum vertraut OS X dem SSL-Zertifikat von GitHub nicht?

68

Wenn ich in Chrome zu einer github.com-Seite gehe, erhalte ich einen großen hässlichen Fehler:

Sie haben versucht, auf github.com zuzugreifen, der Server hat jedoch ein Zertifikat angezeigt, das von einer Entität ausgestellt wurde, die vom Betriebssystem Ihres Computers nicht als vertrauenswürdig eingestuft wird. Dies kann bedeuten, dass der Server seine eigenen Sicherheitsinformationen generiert hat, auf die sich Chrome für Identitätsinformationen nicht verlassen kann, oder dass ein Angreifer versucht, Ihre Kommunikation abzufangen.

Sie können nicht fortfahren, da der Websitebetreiber eine erhöhte Sicherheit für diese Domain angefordert hat.

Dasselbe passiert (in Chrome und mit Curl), wenn ich auch zu https://www.digicert.com/ gehe . Dieses seltsame Problem begann vor ungefähr eineinhalb Wochen.

Folgendes wird angezeigt, wenn ich in der Adressleiste auf das Symbol für eine unterbrochene Sperre klicke:

GitHub.com ist kaputt GitHub.com-Zertifikatinformationen

Aber gist.github.com funktioniert gut:

Gist.GitHub.com funktioniert Informationen zum Gist.GitHub.com-Zertifikat

Es funktioniert auch nicht mit Locken:

Mit Locken geht es nicht

In Firefox funktioniert alles einwandfrei.

Wie kann ich mein Problem mit der Stammzertifizierungsstelle beheben?

So sieht es in Firefox aus:

Bildbeschreibung hier eingeben Bildbeschreibung hier eingeben

Aktualisieren:

Ich habe festgestellt, dass das erste Zertifikat in der Kette in meinem defekten Chrome / Safari anders ist als in Chrome auf meinem anderen Computer.

Bildbeschreibung hier eingeben Bildbeschreibung hier eingeben

(Es gibt kein böses rotes X mehr, weil ich es in Safari als vertrauenswürdig eingestuft habe.) Sehen Sie, wie sich die Emittenten unterscheiden? Was kann ich daraus machen?

macos ssl trusted-root-certificates Trevor Dixon
quelle
Es gibt einen Unterschied zwischen * .github.com und github.com. Welchen Browser verwenden Sie?
Ramhound
Chrom. Es ist in Chrome kaputt, aber es funktioniert in Firefox. Mit Locken geht es nicht.
Trevor Dixon
Können Sie die Firefox-Informationen veröffentlichen, aus denen hervorgeht, dass das Zertifikat keine Fehler enthält?
Ramhound
Unten wurden Firefox-Bilder hinzugefügt.
Trevor Dixon
Gleiches Problem mit digicert.com selbst.
Trevor Dixon

Antworten:

42

das hat bei mir geklappt:

Keychain.app > Preferences > General > Reset My Default Keychain

AKTUALISIEREN

Eine weniger drastische Option ist das Löschen des DigiCert- Zertifikats aus dem Anmeldeschlüsselbund : Sie sollten sowieso bereits eines im Stammschlüsselbund haben. Dieser Fehler scheint aufzutreten, wenn die beiden nicht übereinstimmen.

evacchi
quelle
2
Scheint drastisch ...
JLundell
3
Ich glaube, dass das Löschen des Zertifikats im Anmeldeschlüsselbund ebenfalls funktionieren könnte. Wenn ich es richtig verstanden habe, befindet sich DigiCert ohnehin im Root-Schlüsselbund. Vor dem Zurücksetzen einen Versuch wert. (Natürlich Backup etc etc)
Evacchi
Ja, das hat bei mir funktioniert. Puzzle, warum es im Login-Schlüsselbund ist. Bei der Prüfung sind die beiden Fassungen nicht identisch; neugierig woher die login version kommt.
JLundell
Gut zu wissen, ich werde die Antwort aktualisieren.
Evacchi
3
Übrigens: Ähnliche Probleme können auftreten, wenn im Anmeldeschlüsselbund ein abgelaufenes Stammzertifikat vorhanden ist, das die aktualisierten Zertifikate aus den Systemstämmen überschreibt. Um diese anzuzeigen, aktivieren Sie "Abgelaufene Zertifikate anzeigen" im Menü "Ansicht".
Arjan
79

Ab dem 26. Juli 2014 ist ein neues Problem aufgetreten, als ein altes, anscheinend quasi weit verbreitetes Zertifikat abgelaufen ist.

Basierend auf https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Anweisungen zum Löschen des abgelaufenen DigiCert SSL-Zertifikats unter OSX

 
  1. Starten des Schlüsselbundzugriffs über Spotlight
    • ⌘-Raum
    • Geben Sie "Schlüsselbundzugriff" ein.
    • Drücken Sie die Eingabetaste
  2. Stellen Sie sicher, dass abgelaufene Zertifikate angezeigt werden. Aktivieren Sie "Abgelaufene Zertifikate anzeigen" im Menü "Ansicht".
  3. Suche nach "Digicert".
  4. Klicken Sie mit der rechten Maustaste auf das Zertifikat mit einem roten X und wählen Sie "DigiCert High Assurance EV-Stammzertifizierungsstelle löschen".
  5. Das Zertifikat wird möglicherweise erst nach einem Neustart von Keychain Access entfernt
  6. Starten Sie Ihren Browser neu
Sie sollten wieder in der Lage sein, auf die betroffenen Sites zuzugreifen.

 

Allen Hancock
quelle
2
Das Entfernen des Zertifikats hat nicht geholfen, ich habe meinen Computer neu gestartet. Problem bleibt bestehen. Irgendeine Idee?
Aviel
9
Ok, ich lösche wahrscheinlich zu viele Digizertifikate. Ich bin hierher gegangen , habe digicert.com/digicert-root-certificates.htm und das "DigiCert High Assurance EV Root CA" -Zertifikat heruntergeladen.
Aviel
1
@Aviel Danke, das Herunterladen und Neuinstallieren dieses Zertifikats hat es für mich getan.
Tim Scott
1
Dies hat für mich wie ein Zauber gewirkt und auch das ähnliche Problem mit Safari gelöst (wie Sie es erwarten würden). Ich musste Chrome allerdings neu starten.
Biggusjimmus
Toll! Das hat bei mir funktioniert. Thanks @Allen Hancock :)
Mark Robson
1

Ich habe gerade Johns Lösung ausprobiert und es hat nicht geholfen. Obwohl ich in meinem Fall keines der "blauen +" Symbole in Class gefunden habe.
Also habe ich nur die beiden vorgeschlagenen Cache-Dateien gelöscht und neu gestartet.
In meinem Fall versuche ich, eine Anwendung in Macports zu aktualisieren, die mit git eine Verbindung zu github herstellt, um die Quelle herunterzuladen, und die den Fehler verursacht. Und ich sehe den Fehler in Safari, aber nicht in Firefox.

Nach dem oben genannten habe ich mich mit DigiCert in Verbindung gesetzt und sie waren sehr hilfreich, um es zu lösen. In Schlüsselbundzugriff-> Systemstamm Kategorie: Zertifikate

DigiCert High Assurance EV-Stammzertifizierungsstelle-> Vertrauensstellung-> SSL-Änderung von: Kein Wert angegeben für: Immer vertrauen GTE CyberTrust Global Root-> Vertrauensstellung-> SSL-Änderung von: Kein Wert angegeben für: Immer vertrauen

user2965673
quelle
1

Für mich wurde das Problem gelöst, indem das Dienstprogramm für den Schlüsselbundzugriff gestartet, "Erste Hilfe für Schlüsselbund" im Menü "Schlüsselbundzugriff" ausgewählt und "Reparieren" ausgewählt wurde.

Keith Bennett
quelle
Durch Klicken auf Reparieren wurden anscheinend alle meine Zertifikate gelöscht, sodass es sich möglicherweise um ein Nebenprodukt handelt.
Gray
0

Wir hatten vor einiger Zeit ein Problem mit verschiedenen SSL-Zertifikaten und stellten fest, dass dies bei 90% dieser Probleme funktioniert.

Löschen Sie die Dateien /var/db/crls/crlcache.db und /var/db/crls/ocspcache.db. Diese können mit Finder's Go> gefunden werden. Gehe zum Ordner-Menü (Befehlstaste + Umschalttaste + G). Dies setzt den Cache der akzeptierten Zertifikate im System zurück. Es entfernt sie nicht, sondern zwingt das System lediglich, die Caches beim Neustart neu zu erstellen.

Öffnen Sie den Schlüsselbund (/ Programme / Dienstprogramme / Schlüsselbund). Wählen Sie in der Kategorieauswahl auf der linken Seite Zertifikate aus. Geben Sie in der Suchleiste das Wort Class ein. Durchsuchen Sie diese Liste und suchen Sie nach Zertifikaten mit einem blauen + Symbol über dem Symbol. Diese müssen Sie ändern.

Wählen Sie eine mit einem blauen + aus und drücken Sie Befehlstaste + I. Klicken Sie auf das Dreieck neben der Liste "Vertrauenswürdig", um die Liste der Berechtigungen anzuzeigen. Jetzt müssen wir dieses Zertifikat so einstellen, dass die Systemstandards verwendet werden. Aus irgendeinem Grund wird es jedoch nicht gespeichert, wenn Sie es auswählen. Was Sie also tun müssen, ist dies. Ändern Sie das Dropdown-Menü unter "Vertrauenswürdig" in "SSL (Secure Sockets Layer)" und wählen Sie "Kein Wert angegeben". Dann schließen Sie das Fenster. Sie werden nach Ihren Administratorrechten gefragt. Öffnen Sie dann erneut das Infofenster für dieses Zertifikat. Stellen Sie nun erneut unter "Vertrauenswürdig" die Dropdown-Liste "Bei Verwendung dieses Zertifikats:" auf "Systemstandards verwenden" ein. Sie können das Infofenster dann schließen und Ihr Kennwort erneut eingeben. Führen Sie dies für alle Zertifikate aus, die ein blaues + auf dem Symbol haben. Es sollten höchstens ein oder zwei sein.

Starten Sie Ihr System neu.

Lassen Sie mich wissen, ob das funktioniert, ich wäre gespannt, ob das funktioniert.

Da Time Machine IMMER ein Backup verwendet, können Sie zumindest zurückkehren, wenn es noch schlimmer wird!

John Marc
quelle
0

Für diejenigen, die das abgelaufene Zertifikat entfernt haben, aber immer noch das Problem haben. Starten Sie den Schlüsselbundzugriff, gehen Sie zum entsprechenden Menüpunkt, wählen Sie "Schlüsselbund-Erste-Hilfe", führen Sie eine Überprüfung durch, führen Sie eine Reparatur durch und führen Sie dann zur Sicherheit eine erneute Überprüfung durch. Problem sollte weggehen.

Kurt Bussche
quelle
Dies scheint die gleiche zu sein wie Keith Bennetts Antwort vom 6. Juli
Scott
0

Das hat mir geholfen:

(Chrom, OsX)

  1. Öffnen Sie Keychain.app
  2. Suche "digicert" in der oberen rechten Ecke von Keychain.app
  3. Wählen Sie alle Digicert-Zertifikate aus und entfernen Sie sie mit Rechtsklick und Kontextmenü ( http://screencast.com/t/2T4f1XQa0Xu )
  4. Hier gehts zu http://digicert.com/digicert-root-certificates.htm
  5. Auf Seite suchen und DigiCert High Assurance EV-Root-CA- Zertifikat herunterladen
  6. Wenn Sie es heruntergeladen haben, klicken Sie darauf und installieren Sie es in Ihrem Schlüsselbund
  7. Starten Sie Ihr Chrome neu
Nedudi
quelle
0

Ich bin Allens Tipp gefolgt, aber es hat bei mir nicht funktioniert. Also versuche ich das. Sieht aus wie es funktioniert.

  1. Befolgen Sie alle Schritte von Allen.
  2. Öffnen Sie die betroffene Site auf Safari (z. B. github.com).
  3. Es wird Ihnen diese Alarmbox anzeigen. Klicken Sie auf "Zertifikat anzeigen". Bildbeschreibung hier eingeben
  4. Wählen Sie in der Dropdown-Liste "Bei Verwendung dieses Zertifikats:" die Option "Immer vertrauen" aus. Alle 2 Dropdown-Listen folgen der Regel, die Sie hier ausgewählt haben. Bildbeschreibung hier eingeben
  5. Öffnen Sie Chrome und versuchen Sie, auf die betroffene Site zuzugreifen (z. B. github.com).

Ich habe es versucht. Facebook wird normal geladen. Aber Github ohne CSS geladen. Ich bekomme Skelettgithub. Ich weiß nicht warum das passiert. Aber die Verbindung ist schon hergestellt und okay.

Irgendeine Idee, Jungs?

Zulhilmi Zainudin
quelle
0

Nachdem ich viele Stunden damit verbracht hatte, das Problem zu beheben, lud ich herunter - Link ;

  • DigiCert Global Root CA
  • DigiCert High Assurance EV-Stammzertifizierungsstelle
  • DigiCert Assurance ID-Stammzertifizierungsstelle

Keine Ahnung, ob diese gute Praxis aber für mich funktioniert. Ich verwende OSX 10.9.5 und Chrome 42.0.2311.152 (64-Bit).

Stuart
quelle
0

Arbeit für mich in MAC 10.10.3 1) Öffnen Schlüsselbund 2) Suchen DigiCert High Assurance EV Root CA 3) Klicken Sie doppelt auf DigiCert High Assurance EV Root CA 4) auf Windows DigiCert High Assurance EV Root CA TRUST 5) Änderung mit Pulldown wählen Menü ein, wenn Sie dieses Zertifikat mit IMMER VERTRAUEN FERTIG verwenden

suryo
quelle
0

Fand das unten online. Ich war mir sicher, dass es ein Gag war, wie Sie jemanden unter Windows dazu gebracht haben, ALT + F4 zu drücken, aber es hat für mich und einen Kollegen funktioniert:

  1. Klicken Sie auf eine beliebige Stelle im betroffenen Chrome-Frame
  2. Geben Sie auf der Tastatur Folgendes ein: danger

Das war's, die Seite wird geladen. Das CSS wird nicht geladen. Klicken Sie einfach auf "Quelltext anzeigen" und die CSS-Datei wird erneut angezeigt. Wiederholen Sie die obigen Schritte und das CSS wird angezeigt. Dann aktualisieren Sie die Github-Seite und alles ist gut.

Alan P.
quelle