macOSが証明書が失効したと考える理由を知る方法は?


42

両方のMacでウィキペディアにアクセスできません。macOSは、Wikipediaの証明書(GlobalSign Organization Validation CA - SHA256 - G2)に署名するために使用された中間証明書が取り消されたと言います。

ここに画像の説明を入力してください

問題の証明書が取り消されたとは思わないので、GlobalSignのCRLおよびOCSPサービスを手動でチェックし、両方とも証明書に問題がないことを通知しました。

macOSが潜在的に使用できるCRLの他のソースはありますか?Security Frameworkに、その意見で証明書のが問題なのかを正確に伝える方法を求める方法はありますか?


ウィキペディア/ maxcdn / ...でもこれを見る
Somatik

1
Wikipediaにアクセスしたときに、Mac(Sierra)でもこれに遭遇しました。それは私のiOSデバイスでも動作します
パンダ

1
ウィキペディアは現在、問題の影響を受けない新しい証明書をすべてのサイトに展開しています:phabricator.wikimedia.org/T148045
pietrodn

3
以下の答えはどれも質問に答えようとさえしません。それらのすべてが
回避策

1
@klanomath私はこのように言いました:誰もが元の原因を知っている結果を排除しようとしていますが、質問は問題を診断する方法です。
キレラギン

回答:


40

GlobalSignで文書化されcrlrefresh rpているsudo rm /var/db/crls/*cache.dbように、OCSPキャッシュを手動で削除しようとしました。

ただし、キャッシュはmacOS 10.12 Sierraの別の場所にあるようです。次のコマンドが機能し、問題を解決しました。

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

また、データベース全体を削除しようとしましたが、自動的に戻らないようです。

わからない場合は、OCSPサーバーが誤った応答を開始する前に、たとえば昨日からバックアップから~/Library/Keychains/*/ocspcache.sqlite3*-shmおよびを含む-wal)を復元することをお勧めします。


3
私はmacOS Sierraを使用していますが、このsqliteコマンドで問題も修正されました。ログアウトする必要も、ブラウザを終了する必要もありませんでした。最初にocspcache.sqlite3のバックアップコピーを作成しました。
ダン・リース・

1
これにより、SafariでのWikipediaの問題は修正されましたが、Chromeは引き続きブロックします。
-benr

問題はときどき戻ってくるようですが、そのコマンドを再実行すると再び修正されます。
ダン・リース・

うわー、そして「たまに」とは、数分おきに言うことです。たぶんそれは本当の修正ではないでしょう。
ダン・リース・

1
SafariでもChromeでも動作します。Chromeではブラウザの再起動が必要でした。
pietrodn

19

GlobalSignがOCSPに問題を抱えているようです。これは彼らのtwitter(https://twitter.com/globalsign/status/786505261842247680?lang=da)から取られています

現在、OCSPで証明書警告メッセージの原因となっている問題が発生しています。これをできるだけ早く修正することを目指しています。

そしてまた

更新:MACユーザーの場合は、キャッシュをクリアしてください crlrefresh rp

またはCRL、OCSPキャッシュの表示および削除


1
実際、私はすでに試しましたがcrlrefresh rp、助けにはならないようです。とにかく、私が探しているのは、macOSを説得して、証明書が悪いと思う正確な理由を教えてくれる方法です(OCSPであろうと他のものであろうと)。
キレラギン

影響は、上流の問題が解決されたかどうかに依存する可能性が高いでしょうか?
アンドレM

キャッシュをクリアしても問題は解決しませんでしたが、少なくとも問題の原因はわかっています。
ジョーダントーマス

ある種のプレスリリースが用意されました:globalsign.com/en/customer-revocation-error
ペトルHudeček

0

Global Signが提供する指示を試してみましたが、実際には助けにはなりませんでした。

sudo rm /var/db/crls/*cache.db基準にcrlcache2.db一致しない別のキャッシュファイルがあるため、実際には役に立たなかった*cache.db

私の解決策は、このファイルも削除してから再起動することでした。

sudo rm /var/db/crls/crlcache2.db

sudo rm /var/db/crls/*フォルダーはキャッシュファイルのみを保持するので安全だと思います。ただし、実行することを選択した場合は、自己責任で実行してください。



-3

他のオプションは、グローバルサインを使用しない決して使用しないサイトに移動することです。たとえば、(英語を話す人)https://it.wikipedia.org(イタリア語のウィキペディア)で、無効な証明書が明示的にglobalsignを信頼していると言ったらこのCFが適切に修正されるまで証明書


3
これは悪い考えです、IMO。私は常に証明書の警告を非常に真剣に受け止めており、継続しません。OPがMITMされていて、その警告を盲目的にクリックした場合はどうなりますか?
-grooveplex

1
これをしないでください。重要な理由でその証明書が失効した場合、明示的な信頼を削除するまで、システムはその失効を無視します。OCSPキャッシュのフラッシュは、この問題を解決するためのはるかに効果的で安全な方法です。
ジョスフェリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.