Certificato SSL client non riuscito in Safari (e cos'è SOSCCThisDeviceIsInCircle?)

1

Ho difficoltà a utilizzare un certificato X.509 per eseguire l'autenticazione client da Safari (9.0.1, come OS X 10.10.5).

Il sintomo è che vado su un sito https://... che esegue il controllo dei certificati client, ma Safari sembra semplicemente sospeso come se fosse in attesa da una risposta dal server. Nella console degli errori riporta Failed to load resource: cancelled (e su uno dei server con cui ho provato questo, su cui ho il controllo, i registri rilevanti riportano che il browser sembra aver interrotto bruscamente la connessione - non c'è altra indicazione lì di un protocollo botch).

Il certificato è valido e ha una buona firma della CA, come verificato da openssl , e dal fatto che funziona come previsto con Firefox, Chrome e curl . Tieni presente che Chrome e OS X curl utilizzano il portachiavi e Firefox non lo fa, quindi non vi è alcun fattore comune. Inoltre, OS X curl è costruito rispetto a SecureTransport rispetto a OpenSSL, quindi credo che utilizzi la stessa libreria SSL di Safari (non conosco Chrome in questo senso).

Questo non è un problema lato server, perché altri che utilizzano la stessa versione di Safari possono ottenere lo stesso URL con certificati dalla stessa CA. Inoltre, posso collegarmi direttamente a quel sito utilizzando Chrome, che ovviamente utilizza anche WebKit e che utilizza lo stesso certificato, tramite il portachiavi.

La cosa più vicina a una diagnostica che riesco a trovare è che un messaggio appare nella console ogni volta che faccio questo, dicendo

2015-11-13 18:43:53.329 Keychain Access[1373]:  SOSCCThisDeviceIsInCircle SOSCCThisDeviceIsInCircle!! 58

(il numero finale aumenta ogni volta).

Sono stato in grado di trovare nulla che riguardasse quella stringa, a parte passare le citazioni in alcuni post del forum chiaramente perplessi.

Ho provato a eliminare le preferenze di identità da Accesso Portachiavi senza successo, ho provato a eliminare certificati simili (scaduti) dal portachiavi e ho provato ad esportare l'eliminazione e la reimportazione del certificato pertinente; tutto senza effetto.

Sono perplesso! Qualcuno ha qualche suggerimento? Poiché questo sembra essere un problema specifico di Safari, ti sto chiedendo qui prima di provare sulla sicurezza SE.

    
posta Norman Gray 13.11.2015 - 20:20
fonte

2 risposte

1

Mi piace usare l'app Keychain Access per risolvere i problemi di attendibilità crittografica e anche trovare una VM pulita di OS X o almeno un nuovo account utente aiuta ad assicurarmi di sapere che sto iniziando da una catena di fiducia conosciuta.

  • Apri Accesso Portachiavi
  • nel menu Accesso portachiavi, seleziona Assistente certificato e poi Valuta un certificato

Da lì puoi utilizzare lo strumento SSL per valutare le cose e iniziare a selezionare ciò che non funziona o che ha successo. Il rimbalzo tra lo strumento e Safari di solito vale la pena di ordinare gli errori.

    
risposta data 13.11.2015 - 21:04
fonte
0

Di seguito una non risposta:

Sembra che non si tratti di un certificato generale o di un problema di fiducia, ma di un bug relativo a Safari che, nonostante alcuni sforzi, non sono riuscito a restringere ulteriormente (sono che utilizza attualmente Safari 9.1.2 su OS X 10.10.5).

Il certificato in questione non funziona con più siti (incluso il sito web del proprio emittente), ma lo stesso certificato funziona in modo coerente con quei siti quando viene utilizzato con Chrome (che utilizza anche Keychain Access) o Firefox (che non ).

Quindi, se stai osservando questo perché hai lo stesso problema (e sto aggiungendo questa risposta perché Stackexchange mi ha appena detto, con mia sorpresa, che questa domanda è stata vista più di 1000 volte), poi la mia il consiglio è:

  1. Utilizza un browser diverso; e
  2. Se riesci a restringere ulteriormente questo campo, quindi molto ben fatto (e grazie), e ti preghiamo di prendere in considerazione di inviare una segnalazione di bug al riguardo - il mondo sarà quindi in debito.
risposta data 10.08.2016 - 13:09
fonte

Leggi altre domande sui tag