Atualização do Mac OS X Lion 10.7.2 quebra o SSL

Sumário

Após a atualização de 10.7.1 para 10.7.2, nem o Safari nem o Google Chrome podem carregar o GMail. Girando bolas de praia ao redor.

O problema não é o GMail; O Firefox carrega o GMail muito bem.

O problema não se limita ao Safari ou Google Chrome; Outros aplicativos também têm problemas com o SSL: Gilgamesh e Safari. Qualquer programa que use o WebKit (Google Chrome, Safari) ou uma biblioteca de cacau (Gilgamesh) para acessar a Internet tem problemas para carregar sites seguros.

Os vários fóruns online sugerem algumas correções, nenhuma das quais funciona.

Análise

Correção 1: abra o Keychain Access.app e exclua o certificado desconhecido.

A atualização 10.7.2 também impede o carregamento do Acesso às Chaves. O próprio programa de chaveiros Spinning Beachballs.

Correção 2: Exclua ~ / Library / Keychains / login.keychain e /Library/Keychains/System.keychain.

Isso resolve temporariamente o problema e permite que você carregue sites seguros, mas um ou dois minutos após a reinicialização ou a hibernação desfazem magicamente a correção, de modo que você deve excluir esses arquivos repetidamente.

Correção 3: Exclua ~ / Library / Application \ Support / Mob * e / Library / Application \ Support / Mob *.

Há um boato de que o novo serviço MobileMe / iCloud ubd está causando o problema. Esta correção não resolve o problema.

Correção 4: abra o acesso ao chaveiro, abra as preferências e desative o OCSP e a CRL.

Esta correção não resolve o problema.

Correção nº 5: use o instalador combinado 10.7.0 -> 10.7.2, em vez do instalador 10.7.1 -> 10.7.2.

Quando executo o instalador combinado , ele permanece para sempre na tela "Validando pacotes ...". O instalador de combinação propriamente dito foi corrigido para He ||.

Eu forcei o encerramento do instalador, executei "sudo killall installd" para forçar o encerramento do processo do instalador em segundo plano e execute novamente o instalador do combo.

Mesmo problema: para em "Validing Packages ..."

Recapitular

A única correção que funciona é excluir os chaveiros, mas você deve fazer isso toda vez que reiniciar ou ativar a hibernação. Há alguma evidência de que o ubd corrompe continuamente os arquivos de chaveiro, mas a correção sugerida do ubd de excluir ~ / Library / Application \ Support / Mob * e / Library / Application \ Support / Mob * não resolve esse problema.

Evidentemente, algo está corrompendo o chaveiro repetidamente.

Também publicado nas comunidades de suporte da Apple .

Nossa pessoa de suporte do Mac conseguiu executar o DiskWarrior para corrigir o problema. Nenhum de seus clientes relatou o problema aparecendo até agora.

ATUALIZAR:

Eu descobri uma correção. O problema está acontecendo porque o portal cativo responde a TUDO. Ajustei o DNS do portal cativo para obter resultados ruins para sites OCSP e CRL. Eu usei 127.0.0.1 neste caso. As solicitações agora atingem o tempo limite em vez de retornar dados incorretos. Também funciona localmente, alterando "/ private / etc / hosts" e adicionando entradas como esta:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

As entradas corretas podem depender da CA para o certificado. Encontrei esses endereços enquanto assistia a conexão usando o Wireshark.

Posso acrescentar que o MobileMe agora é o iCloud, portanto a pasta não é Application Support / Mobi *, mas Application Support / Ubiquity.

Exclua isso, embora eu tenha tido resultados mistos. Funcionou apenas 1/3 vezes. A maneira que definitivamente funciona é excluir:

~ / Library / Keychains / login.keychain e /Library/Keychains/System.keychain

Basta enxaguar e repetir. Não sei ao certo quando o Acesso ao Keychain será interrompido, mas em algum momento (normalmente cerca de três dias para mim) tudo para de funcionar.

O Firefox parece contornar as coisas e, se você não quiser fazer nada, pode desativar o OCSP no Firefox (about: config) apenas para efetuar login no seu portal sem fio e lembre-se de ativá-lo novamente. Isso não corrige o Safari ou o Chrome (qual é a palavra no Opera?)

Mas a melhor solução é restaurar para 10.7.1 ou 10.7. Por acaso, eu tinha o arquivo DMG anterior e era 10.7.1. Fazer uma "reinstalação" copia apenas os arquivos do sistema Lion e mantém toda a instalação em forma. Então, você está realmente apenas reinstalando o sistema operacional, mas mantendo TODOS os seus aplicativos e dados. Até agora, isso foi perfeito. Lembre-se de não atualizar para a 10.7.2 se você quiser reverter.

Desativar verificações de OCSP e CRL é uma péssima idéia. Essencialmente, você está dizendo que não se importa com a revogação de certificado. Isso não é bom, dado o número de autoridades de certificação sendo hackeadas atualmente. É por isso que a Apple atualizou sua segurança para portais cativos. O problema está na própria conexão do portal cativo. Se você for a um, não poderá verificar CRL ou OCSP porque (duh!) Você está no portal cativo. Quem quer que forneça este portal, também deve fazer buracos no firewall para permitir que você saia do portal cativo e verifique os certificados que a página do portal cativo https está fornecendo. Precisávamos fazer isso no sistema sem fio da empresa antes que o Lion chegasse a qualquer lugar.

Após semanas de frustração com esse problema constantemente recorrente (e esperando a Apple lançar uma correção), decidi procurar qualquer solução que revelasse a atualização 10.7.2. Infelizmente, não encontrei nenhuma maneira de fazer uma reversão para 10.7.1 ou 10.7.0.

Decidi, portanto, usar o Lion Recovery e ver como isso afeta a situação. Eu executei o procedimento de recuperação seguindo as etapas descritas neste artigo de suporte da Apple .

Fico feliz em informar agora que, no meu caso, o problema (espero) desapareceu! Por alguma razão, mesmo que o processo de recuperação do Lion tenha reinstalado o OS X de volta à versão 10.7.2, não tenho mais problemas com o Keychain ou o SSL há mais de uma semana.

Usei o modo de recuperação on-line e parece que a versão do OS X baixada durante o processo de recuperação tem algum tipo de configuração que não corrompe o chaveiro. O processo de recuperação do Lion foi super tranquilo e eu não precisei reinstalar nenhum aplicativo ou recuperar arquivos do backup (eu ainda recomendaria fazer backups). O meu MacBook Pro é a versão 5,1.

Esta é a primeira vez que a atualização de segurança da Apple quebra o OS X de uma maneira tão grande. Ainda me pergunto por que eles não lançaram uma correção / atualização para corrigir esse problema.

(YMMV, mas funcionou para mim) - eu desativei a rede, reiniciei para eliminar o problema das chaves ou congele o Acesso às Chaves, sem precisar excluir nada. Então, eu desativei o OCSP e a CRL. Ativei a rede ... Conectei-me ao meu portal cativo e depois reativei tudo.

O problema é que o portal cativo requer certificados, mas bloqueia a cadeia de certificados. Obrigado pela outra sugestão.

Na minha experiência, isso acontece apenas ao conectar-se atrás de um portal cativo. Acho que o motivo é que o sistema operacional tenta validar o certificado da página de login do portal cativo, mas o processo de validação requer acesso à Internet. Consegui corrigir esse problema adicionando manualmente o certificado da página do portal cativo ao chaveiro e marcando-o como sempre confiável.

Você pode exportar o certificado com as seguintes etapas:

1. Visite a página do portal cativo no Firefox
2. Selecione Tools > Page Info > Security > View Certificate > Details > Export
3. Salve o certificado no seu disco rígido com a extensão ".crt"

Você pode importar o certificado com as seguintes etapas:

1. Aberto Keychain Access.app
2. Arraste o certificado do Finder para um chaveiro
3. Clique duas vezes no certificado e expanda a seção "Confiança"
4. Escolha "Ao usar este certificado: Always Trust"
5. Feche a janela pop-up

Se você não conseguir abrir o Acesso às Chaves porque sua chave está corrompida, desligue a conexão sem fio, exclua ~/Library/Keychains/login.keychaine /Library/Keychains/System.keychain, em seguida, reinicie.

Eu encontrei o problema É causada pela correção de segurança em 10.7.2 (Sequestração do Security Captive Portal). É provável que uma das redes às quais você está conectado tenha um site de portal, onde você possa inserir dados de login ... para mim, era a rede WiFi.

Para resolver esse problema por enquanto, desative todas as redes, reinicie, inicie o keychain, vá para preferências, certificados, desative o OCSP e a CRL. Reinicie, ative suas redes e lá vai você ...

Consegui fazer o "reparo # 2" como acima.

No terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

e depois reinicie.

Uma sugestão no final de https://discussions.apple.com/thread/3430739?start=0&tstart=0 parece indicar que o seguinte procedimento corrige o problema: http://www.macworld.com/article/163227/ 10/2011 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html