Como saber por que o macOS pensa que um certificado foi revogado?

42

Não consigo acessar a Wikipedia nos meus Macs. O macOS diz que o certificado intermediário usado para assinar o certificado da Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) foi revogado.

insira a descrição da imagem aqui

Como não acredito que o certificado em questão tenha sido revogado, verifiquei manualmente o serviço CRL e OCSP da GlobalSign e ambos me disseram que o certificado está OK.

Existem outras fontes de CRLs que o macOS pode usar potencialmente? Existe uma maneira de solicitar ao Security Framework que me diga exatamente o que há de errado com o certificado em sua opinião?

security  keychain  sierra  certificate 
Kirelagin
fonte
Também vendo isso para wikipedia / maxcdn / ...
Somatik
1
Eu também encontrei isso no meu Mac (Sierra) ao visitar a Wikipedia. Ele funciona no meu dispositivo iOS embora
Panda
1
Wikipedia está implantando em todos os sites de um novo certificado que não é afetada por problemas, agora: phabricator.wikimedia.org/T148045
pietrodn
3
Nenhuma das respostas abaixo tenta responder à pergunta. Todos eles tentar encontrar uma solução alternativa ...
klanomath
1
@klanomath, eu colocaria desta maneira: todo mundo está tentando eliminar as conseqüências sabendo a causa original, enquanto a pergunta é como diagnosticar o problema.
kirelagin

Respostas:

40

Tentei crlrefresh rpe também excluí manualmente o cache do OCSP sudo rm /var/db/crls/*cache.dbconforme documentado pela GlobalSign .

No entanto, o cache parece estar em um local diferente no macOS 10.12 Sierra. O comando a seguir funcionou para mim e resolveu o problema:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Também tentei excluir o banco de dados inteiro, mas ele não parece voltar automaticamente.

Se não tiver certeza, é melhor restaurar ~/Library/Keychains/*/ocspcache.sqlite3*(incluindo -shme -wal) a partir de um backup antes que os servidores OCSP comecem a dar respostas erradas, por exemplo, ontem.

raimue
fonte
3
Estou usando o macOS Sierra, e esse comando sqlite também resolveu o problema. Não precisei me desconectar nem sair do navegador. Fiz uma cópia de backup do ocspcache.sqlite3 primeiro.
Dan Reese
1
Isso corrigiu o problema da Wikipedia no Safari, mas o Chrome ainda me bloqueia.
22916 benr
O problema parece voltar ocasionalmente, mas a execução desse comando o corrige novamente.
Dan Reese
Uau, e por "ocasionalmente", quero dizer a cada poucos minutos. Talvez isso não seja uma solução real, afinal.
Dan Reese
1
Funciona para mim no Safari e também no Chrome. O Chrome precisava de uma reinicialização do navegador.
pietrodn
19

Pode ser que isso pareça que a GlobalSign tenha um problema com seu OCSP. Isso é retirado de seu twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

No momento, estamos enfrentando problemas com nosso OCSP, o que está causando mensagens de aviso de certificado. Nosso objetivo é corrigir isso o mais rápido possível.

E também

ATUALIZAÇÃO: se você é um usuário de MAC, limpe seu cache com crlrefresh rp

ou Exibir e / ou excluir cache da CRL, OCSP

Michael Hansen
fonte
1
Na verdade, eu já tentei crlrefresh rpe não parece ajudar. De qualquer forma, o que estou procurando é uma maneira de convencer o macOS a me dizer exatamente o motivo pelo qual ele acha que o certificado é ruim (seja o OCSP ou qualquer outra coisa).
precisa saber é o seguinte
O impacto provavelmente dependerá de se os problemas anteriores foram resolvidos?
11136 Andre M
Limpar caches não resolveu o problema para mim, mas pelo menos tenho uma atribuição para o problema.
Jordan Thomas
Agora existe um comunicado de imprensa: globalsign.com/en/customer-revocation-error
Petr Hudeček
0

Tentei as instruções fornecidas pela Global Sign, mas isso realmente não me ajudou.

sudo rm /var/db/crls/*cache.dbNa verdade, não ajudou porque há outro arquivo de cache crlcache2.dbque não corresponde aos *cache.dbcritérios.

Minha solução foi também remover este arquivo e, em seguida, reiniciar.

sudo rm /var/db/crls/crlcache2.db

Eu acho que é seguro, sudo rm /var/db/crls/*porque a pasta contém apenas arquivos de cache. Mas se você optar por fazê-lo, faça-o por sua conta e risco.

DawTaylor
fonte
-3

A outra opção é acessar um site que você nunca usa e que usa globalsign, por exemplo (para quem fala inglês) https://it.wikipedia.org (wikipedia em italiano) e quando aparece dizendo que certificado inválido confia explicitamente no globalsign certificado até que este CF seja corrigido corretamente

Simon
fonte
3
Essa é uma péssima idéia, IMO. Eu sempre levo os avisos de certificado muito a sério e não continuo. E se OP estivesse sendo MITM e eles apenas clicassem cegamente nesse aviso?
grooveplex
1
Por favor, não faça isso. Se esse certificado for revogado por razões importantes, seu sistema ignorará essa revogação até você excluir a confiança explícita. A descarga do cache do OCSP é uma maneira muito mais eficaz e segura de resolver esse problema.
Joshperry
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.