Я не могу получить доступ к Википедии на обоих своих компьютерах Mac. macOS сообщает, что промежуточный сертификат, используемый для подписи сертификата Википедии ( GlobalSign Organization Validation CA - SHA256 - G2
), был отозван.
Я не верю, что рассматриваемый сертификат был отозван, поэтому я вручную проверил CRL GlobalSign и службу OCSP, и оба сказали мне, что сертификат в порядке.
Существуют ли другие источники CRL, которые потенциально может использовать macOS? Есть ли способ попросить Security Framework сказать мне, что именно не так с сертификатом, по его мнению?
Я попытался crlrefresh rp
также вручную удалить кеш OCSP, sudo rm /var/db/crls/*cache.db
как задокументировано GlobalSign .
Однако кэш, похоже, находится в другом месте в macOS 10.12 Sierra. Следующая команда сработала для меня и решила проблему:
$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'
Я также попытался удалить всю базу данных, но, похоже, она не возвращается автоматически.
Если не уверены, лучше просто восстановить ~/Library/Keychains/*/ocspcache.sqlite3*
(в том числе -shm
и -wal
) из резервной копии до того, как серверы OCSP начали давать неверные ответы, например, со вчерашнего дня.
/usr/bin/curl
теперь он работает с Safari.Может быть, у GlobalSign проблема с их OCSP. Это взято из их твиттера ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
В настоящее время у нас возникают проблемы с нашим OCSP, которые вызывают предупреждающие сообщения о сертификате. Мы стремимся исправить это как можно скорее.
А также
ОБНОВЛЕНИЕ: Если вы являетесь пользователем MAC, очистите кеш с помощью
crlrefresh rp
crlrefresh rp
и это, кажется, не помогает. В любом случае, я ищу способ убедить macOS сообщить мне точную причину, по которой он считает сертификат плохим (будь то OCSP или что-то еще).Пробовал инструкцию от Global Sign, но она мне не особо помогла.
sudo rm /var/db/crls/*cache.db
На самом деле не помогло, потому что есть другой файл кеша, crlcache2.db
который не соответствует *cache.db
критериям.
Мое решение состояло в том, чтобы также удалить этот файл, а затем перезагрузить компьютер.
sudo rm /var/db/crls/crlcache2.db
Я думаю, что это безопасно, sudo rm /var/db/crls/*
потому что в папке хранятся только файлы кеша. Но если вы решили это сделать, то делайте это на свой страх и риск.
Вопрос буквально звучит так: «Есть ли способ попросить Security Framework сказать мне, что именно не так с сертификатом, по его мнению?» Но это буквально то, что делает Security Framework.
MacOS считает, что сертификат был отозван, потому что промежуточный сертификат в его цепочке доверия был (непреднамеренно) отозван. См. Промах GlobalSign отменяет сертификаты HTTPS ведущих веб-сайтов .
Сообщение об ошибке, которое вы видите, сообщает вам, какой именно промежуточный сертификат был отозван. Что еще вы хотели бы знать?
Другой вариант - перейти на сайт, который вы никогда не используете, который использует globalsign, например (для всех говорящих по-английски) https://it.wikipedia.org (итальянская википедия), и когда появляется сообщение о том, что недействительный сертификат явно доверяет globalsign сертификат, пока этот CF не будет исправлен должным образом
Соматик
Панда
пьетроден
кланомат
кирелагин