Come spiegare perché macOS pensa che un certificato sia stato revocato?

42

Non riesco ad accedere a Wikipedia su entrambi i miei Mac. macOS dice che il certificato intermedio utilizzato per firmare il certificato di Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2 ) è stato revocato.

Non credo che il certificato in questione sia stato revocato, quindi ho controllato manualmente il servizio CRL e OCSP di GlobalSign ed entrambi mi dicono che il certificato è OK.

Esistono altre fonti di CRL che macOS può potenzialmente utilizzare? C'è un modo per chiedere a Security Framework di dirmi che cosa esattamente ha sbagliato con il certificato nel suo parere?

    
posta kirelagin 13.10.2016 - 15:29
fonte

5 risposte

40

Ho provato crlrefresh rp e anche manualmente cancellando la cache OCSP con sudo rm /var/db/crls/*cache.db come documentato da GlobalSign .

Tuttavia, la cache sembra essere in una posizione diversa su macOS 10.12 Sierra. Il seguente comando ha funzionato per me e ha risolto il problema:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Ho anche provato a cancellare l'intero database, ma non sembra tornare automaticamente.

Se non sei sicuro, è meglio ripristinare ~/Library/Keychains/*/ocspcache.sqlite3* (incluso -shm e -wal ) da un backup prima che i server OCSP iniziassero a dare risposte errate, ad esempio da ieri.

    
risposta data 13.10.2016 - 19:02
fonte
18

Potrebbe essere questo, sembra che GlobalSign abbia un problema con il loro OCSP. Questo è preso dal loro twitter ( link )

We are currently experiencing issues with our OCSP which is causing certificate warning messages. We aim to fix this as soon as possible.

E anche

UPDATE: If you're a MAC user, please clear your cache with crlrefresh rp

o Visualizza e / o Elimina CRL, OCSP cache

    
risposta data 13.10.2016 - 15:44
fonte
0

Ho provato le istruzioni fornite da Global Sign, ma non mi ha aiutato molto.

sudo rm /var/db/crls/*cache.db Non è stato effettivamente aiutato perché esiste un altro file cache crlcache2.db che non corrisponde ai criteri *cache.db .

La mia soluzione era di rimuovere anche questo file e quindi riavviare.

sudo rm /var/db/crls/crlcache2.db

Penso che sia sicuro di sudo rm /var/db/crls/* perché la cartella contiene solo i file di cache. Ma se hai scelto di farlo, fallo a tuo rischio.

    
risposta data 14.10.2016 - 21:29
fonte
0

MacOS ritiene che il certificato sia stato revocato perché un certificato intermedio nella sua catena di trust è stato (inavvertitamente) revocato. Vedi l'annullo GlobalSign annulla i certificati HTTPS dei siti Web più importanti .

Il messaggio di errore che stai vedendo ti dice esattamente quale certificato intermedio è stato revocato. Cos'altro vorresti sapere?

    
risposta data 15.10.2016 - 22:11
fonte
-3

L'altra opzione è quella di andare in un sito che non usi mai che usa globalsign, ad esempio (per qualsiasi oratore inglese) link ( wikipedia in italiano) e quando si parla di cert non valido si fidano esplicitamente del certificato globalsign fino a quando questo CF non viene corretto correttamente

    
risposta data 13.10.2016 - 19:34
fonte

Leggi altre domande sui tag