¿Cómo saber por qué macOS cree que se ha revocado un certificado?

No puedo acceder a Wikipedia en mis dos Mac. macOS dice que el certificado intermedio utilizado para firmar el certificado de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) ha sido revocado.

ingrese la descripción de la imagen aquí

No creo que el certificado en cuestión haya sido revocado, así que revisé manualmente el servicio CRL y OCSP de GlobalSign y ambos me dicen que el certificado está bien.

¿Hay otras fuentes de CRL que macOS pueda usar potencialmente? ¿Hay alguna manera de pedirle a Security Framework que me diga qué es exactamente lo que está mal con el certificado en su opinión?

también viendo esto por wikipedia/maxcdn/...
También encontré esto en mi Mac (Sierra) cuando visité Wikipedia. Sin embargo, funciona en mi dispositivo iOS.
Wikipedia está implementando en todos los sitios un nuevo certificado que no se ve afectado por problemas, ahora mismo: phabricator.wikimedia.org/T148045
Ninguna de las respuestas a continuación incluso intenta responder la pregunta. Todos tratan de encontrar una solución...
@klanomath Lo diría de esta manera: todos están tratando de eliminar las consecuencias sabiendo la causa original, mientras que la pregunta es cómo diagnosticar el problema.

Respuestas (5)

Intenté crlrefresh rpy también eliminé manualmente el caché OCSP con sudo rm /var/db/crls/*cache.dblo documentado por GlobalSign .

Sin embargo, el caché parece estar en una ubicación diferente en macOS 10.12 Sierra. El siguiente comando funcionó para mí y resolvió el problema:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

También intenté eliminar toda la base de datos, pero parece que no vuelve automáticamente.

Si no está seguro, mejor simplemente restaure ~/Library/Keychains/*/ocspcache.sqlite3*(incluyendo -shmy -wal) desde una copia de seguridad antes de que los servidores OCSP comenzaran a dar respuestas incorrectas, por ejemplo, ayer.

Estoy usando macOS Sierra, y este comando sqlite también me solucionó el problema. No tuve que cerrar sesión, ni siquiera salir del navegador. Primero hice una copia de seguridad de ocspcache.sqlite3.
Esto solucionó el problema de Wikipedia en Safari, pero Chrome todavía me bloquea.
El problema parece reaparecer ocasionalmente, pero volver a ejecutar ese comando lo soluciona nuevamente.
Guau, y por "ocasionalmente", me refiero a cada pocos minutos. Tal vez eso no sea una solución real después de todo.
Me funciona en Safari y también en Chrome. Chrome necesitaba reiniciar el navegador.
Correcto, wikipedia.org todavía parece estar bloqueado para mí en Chrome, pero funciona con Safari y /usr/bin/curlahora.
También estoy usando macOS Sierra y el comando sqlite me funciona perfectamente en Chrome y también en Safari. No olvide reiniciar los navegadores después de eso.
Probablemente sea una posibilidad remota, pero verifique que el reloj de su sistema sea exacto.

Podría ser esto, parece que GlobalSign tiene un problema con su OCSP. Esto está tomado de su twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Actualmente estamos experimentando problemas con nuestro OCSP que genera mensajes de advertencia de certificado. Nuestro objetivo es solucionar esto lo antes posible.

Y también

ACTUALIZACIÓN: si es un usuario de MAC, borre su caché concrlrefresh rp

o Ver y/o eliminar CRL, caché OCSP

En realidad, ya lo he intentado crlrefresh rpy no parece ayudar. De todos modos, lo que estoy buscando es una forma de persuadir a macOS para que me diga la razón exacta por la que cree que el certificado es malo (ya sea OCSP u otra cosa).
El impacto probablemente dependerá de si se han resuelto los problemas anteriores.
Borrar cachés no me solucionó el problema, pero al menos tengo una atribución para el problema.
Ahora hay una especie de comunicado de prensa: globalsign.com/en/customer-revocation-error

Probé las instrucciones proporcionadas por Global Sign, pero realmente no me ayudaron.

sudo rm /var/db/crls/*cache.dbEn realidad, no ayudó porque hay otro archivo de caché crlcache2.dbque no coincidía con los *cache.dbcriterios.

Mi solución fue eliminar también este archivo y luego reiniciar.

sudo rm /var/db/crls/crlcache2.db

Creo que es seguro sudo rm /var/db/crls/*porque la carpeta solo contiene archivos de caché. Pero si decide hacerlo, hágalo bajo su propio riesgo.

La pregunta es literalmente "¿Hay alguna manera de pedirle a Security Framework que me diga qué es exactamente lo que está mal con el certificado en su opinión?" Pero esto es literalmente lo que está haciendo el marco de seguridad.

MacOS cree que ese certificado fue revocado porque un certificado intermedio en su cadena de confianza fue revocado (sin darse cuenta). Ver El error de GlobalSign cancela los certificados HTTPS de los principales sitios web .

El mensaje de error que está viendo le dice exactamente qué certificado intermedio fue revocado. ¿Qué más te gustaría saber?

La otra opción es ir a un sitio que nunca usa que usa signo global, por ejemplo (para cualquier hablante de inglés) https://it.wikipedia.org (wikipedia en italiano) y cuando aparece diciendo certificado no válido, confíe explícitamente en el signo global. certificado hasta que este CF se arregle correctamente

Esta es una mala idea, en mi opinión. Siempre me tomo muy en serio las advertencias de los certificados y no continúo. ¿Qué pasa si OP estaba siendo MITM y simplemente hicieron clic ciegamente en esa advertencia?
Por favor, no hagas esto. Si ese certificado se revoca alguna vez por razones importantes, su sistema ignorará esa revocación hasta que elimine la confianza explícita. Vaciar su caché OCSP es una forma mucho más efectiva y segura de resolver este problema.
¿Cómo saber por qué macOS cree que se ha revocado un certificado?
RespuestasAquíPolítica de privacidad1y, 0v