クライアントSSL証明書がSafariで失敗する(そしてSOSCCThisDeviceIsInCircleとは何ですか?)


1

Safariからのクライアント認証を行うためにX.509証明書を使用するのが困難です(OS X 10.10.5と同様に9.0.1)。

症状は私がに行くということです https://... クライアントの証明書を確認するサイトですが、Safariはサーバーからの応答を待っているかのように単にハングしているように見えます。エラーコンソールで報告する Failed to load resource: cancelled (そして私がこれを試したが、私が管理しているサーバーの1つでは、関連するログによると、ブラウザーが突然接続を閉じたように見えることが報告されている - 他にプロトコルボッチの兆候はない)。

によって証明されるように、証明書は有効であり、良好なCA署名を持っています。 opensslそしてそれがFirefox、Chrome、そして期待どおりに動くという事実によって curl。 ChromeとOS Xに注意してください。 curl キーチェーンを使用し、Firefoxは使用しないので、一般的な要因はありません。また、OS X curl OpenSSLとは対照的にSecureTransportに対して構築されているので、Safariと同じSSLライブラリを使用しています(この点ではChromeについてはわかりません)。

同じバージョンのSafariを使用している他のユーザーが同じCAの証明書を使用して同じURLにアクセスする可能性があるため、これはサーバー側の問題ではありません。また、Chromeを使用してそのサイトに直接接続することもできます。もちろんChromeはWebKitも使用しており、Keychainを介して同じ証明書を使用しています。

私が見つけることができる診断に最も近い事は私がこれをする時はいつでも、コンソールにメッセージが現れることです

2015-11-13 18:43:53.329 Keychain Access[1373]:  SOSCCThisDeviceIsInCircle SOSCCThisDeviceIsInCircle!! 58

(最後の数字は毎回増加します)。

私はその文字列に関しては何も見つけることができませんでした。

私は成功せずにKeychain Accessからアイデンティティ設定を削除しようとしました、keychainから同様の(期限切れの)証明書を削除しようとし、関連する証明書を削除して再インポートを試みました。すべて効果なし。

私は困惑しています!誰かが何か提案がありますか?これはSafari特有の問題のように思われるので、私はセキュリティSEを試す前にここで尋ねています。


2
SOSCCThisDeviceIsInCircleは、iCloud同期ファイルのバージョン変更とマージ検出を処理するための診断メッセージです。無視したり、新しいテストユーザーを作成したりして、システムキーチェーンとシステムセキュリティを確認し、ユーザーレベルの破損や信頼性の問題に対処しないようにすることができます。
bmike

1
ちょっとしたコツ:ChromeはWebKitを使っているのではなく、Blink(それをフォークしたもの)を使っている。
samh

@ bmikeありがとう - それは理にかなっています。それが無関係のサイトへのアクセスと相関して起こっているように思われたことが奇妙なことに...しかしそれはおそらく重要であるとして排除することができます。しかたがない。
Norman Gray

@samh忘れてしまった - ありがとう。そしてBlinkはトランザクションのSSL層を含まないように見えます:これらはBlinkではなくChromeに実装されています 概要 正しく)。つまり、「Chromeで機能する」ということはおそらく ではない 結局重要です。それはますますSafari特有の問題のように見えます。
Norman Gray

また、どのURLが失敗しているのでしょうか。サーバー構成のセキュリティが低いか、MITMタイプのダウングレードシナリオが考えられます
bmike

回答:


1

Keychain Accessアプリを使用して暗号の信頼性の問題をトラブルシューティングし、OS XのクリーンなVMを作成するか、少なくとも新しいユーザーアカウントを作成すると、既知の信頼チェーンからの起動を確実に確認できます。

  • オープンキーチェーンアクセス
  • 「キーチェーンアクセス」メニューの下で、「証明書アシスタント」を選択してから「証明書を評価」

そこからSSLツールを使って物事を評価し、失敗したものや成功したものを見つけ出すことができます。そのツールとSafariの間で行き来することは、通常、エラーを分類するのに役立ちます。


提案をありがとう(それは便利なツールのように見えます)、しかし私はかなりから確信しています opensslそして、検査から、証明書はOKであること。私は別のユーザーからの証明書を使用してみますが、何かが壊れるかどうかを確認します。
Norman Gray

それは通常、信頼のサファリチェーンが使用していることが問題です。このツールを使用すると、由来を確認してチェーンをより明確にすることができます。また、無視されたプロトコルを検討する必要があるかもしれません、Safariは壊れやすい暗号サイズとプロトコルを拒絶することを検討しています。 @NormanGray
bmike

0

これで答えがない:

それ 現れる これは一般的な証明書や信頼の問題ではなく、多少の努力をしてもそれ以上に絞り込むことができなかったSafari関連のバグです(現在、OS X 10.10.5上でSafari 9.1.2を使用しています)。 )

問題の証明書は複数のサイト(自社の発行元のWebサイトを含む)では機能しませんが、Chrome(Keychain Accessも使用)またはFirefox(これは使用しない)で使用すると、同じ証明書がこれらのサイトでも一貫して機能します。

あなたが同じ問題を抱えているためにこれを見ているのであれば(そして私はこの答えを付け加えています。なぜならStackexchangeが私に言ったのです。

  1. 別のブラウザを使用してください。そして
  2. もうこれ以上絞り込むことができるならば、そして非常によくできていて(そしてありがとう)、そして考えてください それに関するバグレポートを提出する - 世界はあなたの借金になります。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.