Mac OS X Lion 10.7.2アップデートでSSLが壊れる

概要

10.7.1から10.7.2に更新した後、SafariもGoogle ChromeもGMailをロードできません。回転するビーチボール。

問題はGMailではありません。FirefoxはGMailを正常にロードします。

問題はSafariまたはGoogle Chromeに限定されません。他のアプリケーションもSSLに問題があります：GilgameshとSafari。WebKit（Google Chrome、Safari）またはCocoaライブラリ（Gilgamesh）を使用してインターネットにアクセスするプログラムは、安全なサイトの読み込みに問題があります。

オンラインのさまざまなフォーラムでは、いくつかの修正が提案されていますが、どれも機能していません。

分析

修正＃1：キーチェーンAccess.appを開き、不明な証明書を削除します。

10.7.2アップデートは、キーチェーンアクセスのロードも防ぎます。キーチェーンプログラム自体がビーチボールを回転させます。

修正＃2：〜/ Library / Keychains / login.keychainおよび/Library/Keychains/System.keychainを削除します。

これにより一時的に問題が解決し、安全なサイトをロードできますが、再起動または休止状態の1、2分後に何らかの方法で修正が取り消されるため、これらのファイルを何度も削除する必要があります。

修正＃3：〜/ Library / Application \ Support / Mob *および/ Library / Application \ Support / Mob *を削除します。

新しいMobileMe / iCloudサービスubdが問題を引き起こしているという噂があります。この修正は問題を解決しません。

修正＃4：キーチェーンアクセスを開き、設定を開き、OCSPとCRLを無効にします。

この修正は問題を解決しません。

修正＃5：10.7.1-> 10.7.2インストーラーではなく、10.7.0-> 10.7.2コンボインストーラーを使用します。

コンボインストーラーを実行すると、「パッケージの検証...」画面に永久に表示されたままになります。コンボインストーラー自体は、He ||にバグがあります。

インストーラーを強制終了し、「sudo killall installd」を実行してバックグラウンドインストーラープロセスを強制終了し、コンボインストーラーを再実行しました。

同じ問題：「パッケージの検証...」で停止する

要約

動作する唯一の修正はキーチェーンを削除することですが、リブートするたび、または休止状態から復帰するたびにこれを行う必要があります。ubdがキーチェーンファイルを絶えず破損するという証拠がいくつかありますが、〜/ Library / Application \ Support / Mob *および/ Library / Application \ Support / Mob *を削除するというubd修正案はこの問題を解決しません。

明らかに、何かがキーチェーンを何度も破壊しています。

Appleサポートコミュニティにも投稿されています。

Macのサポート担当者がDiskWarriorを実行して問題を解決することに成功しました。これまでのところ、彼の顧客は誰もこの問題の再発を報告していません。

更新：

私は修正を見つけました。キャプティブポータルがすべてに応答するため、問題が発生しています。キャプティブポータルのDNSを調整して、OCSPおよびCRLサイトに悪い結果を与えました。この場合、127.0.0.1を使用しました。リクエストは、不正なデータを返す代わりにタイムアウトするようになりました。また、「/ private / etc / hosts」を変更し、次のようなエントリを追加することにより、ローカルで機能します。

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

正しいエントリは、証明書のCAに依存する場合があります。Wiresharkを使用して接続を見ているときに、これらのアドレスを見つけました。

MobileMeがiCloudになったため、フォルダーはApplication Support / Mobi *ではなく、Application Support / Ubiquityに追加できます。

結果を削除しましたが、それを削除してください。1/3回しか機能しませんでした。間違いなく動作する方法は削除することです：

〜/ Library / Keychains / login.keychainおよび/Library/Keychains/System.keychain

すすぎ、繰り返します。キーチェーンアクセスがいつ切れるのかは完全にはわかりませんが、ある時点（通常は約3日間）ですべてが機能しなくなります。

Firefoxは問題を回避しているようであり、何もしたくない場合は、FirefoxでOCSP（about：config）をオフにして、ワイヤレスポータルにログインし、忘れずにオンに戻すことができます。ただし、SafariやChromeは修正されません（Operaの言葉は何ですか？）

しかし、最良の解決策は10.7.1または10.7に復元することです。私は以前からDMGファイルを持っていて、それは10.7.1でした。「再インストール」を行うと、Lionシステムファイルがコピーされるだけで、インストール全体が正常に保たれます。したがって、実際にはOSを再インストールするだけで、すべてのアプリとデータを保持しています。これまでのところ、これは完璧です。ロールバックする場合は、10.7.2に更新しないでください。

OCSPおよびCRLチェックをオフにすることは非常に悪い考えです。基本的に、証明書の失効を気にしないと言っています。最近では認証局の数がハッキングされていることを考えると、これは良くありません。Appleがキャプティブポータルのセキュリティをアップグレードした理由です。問題は、キャプティブポータル接続自体にあります。1つに行った場合、キャプティブポータルにいるため（そうだ！）、CRLまたはOCSPを確認できません。このポータルを提供する人は誰でも、ファイアウォールに穴をあけて、キャプティブポータルから抜け出し、httpsキャプティブポータルページが提供する証明書を確認できるようにする必要があります。Lionがどこにでも行けるようになるには、エンタープライズワイヤレスシステムでこれを行う必要がありました。

この絶え間なく繰り返される問題に何週間も不満を感じていた（そしてAppleが修正をリリースするのを待っていた）ので、10.7.2アップデートからロールバックするソリューションを探すことにしました。残念ながら、10.7.1または10.7.0にロールバックする方法が見つかりませんでした。

そのため、私はLion Recoveryを使用して、それが状況にどのように影響するかを確認することにしました。このAppleサポート記事に記載されている手順に従って、回復手順を実行しました。

私の場合、問題が（できれば）消滅したことをお知らせします！何らかの理由で、Lion RecoveryプロセスがOS Xを10.7.2バージョンに再インストールしましたが、キーチェーンまたはSSLで1週間以上問題が発生していません。

オンラインリカバリモードを使用しましたが、リカバリプロセス中にダウンロードされるOS Xバージョンには、キーチェーンを破損させない何らかのセットアップが含まれているようです。Lionの回復プロセスは非常にスムーズで、アプリを再インストールしたり、バックアップからファイルを回復したりする必要はありませんでした（バックアップを行うことをお勧めします）。私のMacBook Proはバージョン5,1です。

AppleのセキュリティアップデートがOS Xをこのように大きな方法で破壊したのは、これが初めてです。なぜ彼らがこの問題を修正するための修正/アップデートをリリースしていないのか不思議です。

（YMMVでもうまくいきました）-ネットワークを非アクティブにし、キーチェーンの問題を解決するために再起動したか、キーチェーンアクセスをフリーズしました。何も削除する必要はありませんでした。次に、OCSPとCRLを無効にしました。ネットワークをアクティブにしました...キャプティブポータルに接続し、すべてを再アクティブ化しました。

問題は、キャプティブポータルが証明書を必要とするが、証明書チェーンをブロックすることです。これを提案している他の人に感謝します。

私の経験では、これはキャプティブポータルの背後に接続する場合にのみ発生します。その理由は、オペレーティングシステムがキャプティブポータルのログインページの証明書を検証しようとするが、検証プロセスにはインターネットアクセスが必要だからだと思います。キャプティブポータルページの証明書をキーチェーンに手動で追加し、常に信頼できるものとしてマークすることで、この問題を解決できました。

次の手順で証明書をエクスポートできます。

1. Firefoxのキャプティブポータルページにアクセスします
2. 選択する Tools > Page Info > Security > View Certificate > Details > Export
3. 拡張子「.crt」で証明書をハードドライブに保存します

次の手順で証明書をインポートできます。

1. 開いた Keychain Access.app
2. 証明書をFinderからキーチェーンにドラッグします
3. 証明書をダブルクリックして、「信頼」セクションを展開します
4. 「この証明書を使用する場合：Always Trust」を選択します
5. ポップアップウィンドウを閉じる

キーチェーンが破損しているためにキーチェーンアクセスを開けない場合は、ワイヤレスをオフにし、削除して~/Library/Keychains/login.keychainから/Library/Keychains/System.keychain、再起動します。

問題が見つかりました。これは、10.7.2（セキュリティキャプティブポータルハイジャック）のセキュリティ修正が原因です。接続しているネットワークの1つに、ログインデータを入力できるポータルサイトがある可能性があります。私にとっては、WiFiネットワークでした。

今のところこの問題を解決するには、すべてのネットワークを非アクティブ化し、再起動し、キーチェーンを起動し、設定に移動して証明書を取得し、OCSPとCRLをオフにします。再起動し、ネットワークをアクティブにして、そこに行きます...

上記のように「fix＃2」を実行することで成功しました。

ターミナルで：

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

その後、再起動します。

https://discussions.apple.com/thread/3430739?start=0&tstart=0の最後の提案は、次の手順で問題が修正されたことを示しているようです：http : //www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html