No puedo acceder a Wikipedia en mis dos Mac. macOS dice que el certificado intermedio utilizado para firmar el certificado de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2
) ha sido revocado.
No creo que el certificado en cuestión haya sido revocado, así que revisé manualmente el servicio CRL y OCSP de GlobalSign y ambos me dicen que el certificado está bien.
¿Hay otras fuentes de CRL que macOS pueda usar potencialmente? ¿Hay alguna manera de pedirle a Security Framework que me diga qué es exactamente lo que está mal con el certificado en su opinión?
Intenté crlrefresh rp
y también eliminé manualmente el caché OCSP con sudo rm /var/db/crls/*cache.db
lo documentado por GlobalSign .
Sin embargo, el caché parece estar en una ubicación diferente en macOS 10.12 Sierra. El siguiente comando funcionó para mí y resolvió el problema:
$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'
También intenté eliminar toda la base de datos, pero parece que no vuelve automáticamente.
Si no está seguro, mejor simplemente restaure ~/Library/Keychains/*/ocspcache.sqlite3*
(incluyendo -shm
y -wal
) desde una copia de seguridad antes de que los servidores OCSP comenzaran a dar respuestas incorrectas, por ejemplo, ayer.
/usr/bin/curl
ahora.Podría ser esto, parece que GlobalSign tiene un problema con su OCSP. Esto está tomado de su twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
Actualmente estamos experimentando problemas con nuestro OCSP que genera mensajes de advertencia de certificado. Nuestro objetivo es solucionar esto lo antes posible.
Y también
ACTUALIZACIÓN: si es un usuario de MAC, borre su caché con
crlrefresh rp
crlrefresh rp
y no parece ayudar. De todos modos, lo que estoy buscando es una forma de persuadir a macOS para que me diga la razón exacta por la que cree que el certificado es malo (ya sea OCSP u otra cosa).Probé las instrucciones proporcionadas por Global Sign, pero realmente no me ayudaron.
sudo rm /var/db/crls/*cache.db
En realidad, no ayudó porque hay otro archivo de caché crlcache2.db
que no coincidía con los *cache.db
criterios.
Mi solución fue eliminar también este archivo y luego reiniciar.
sudo rm /var/db/crls/crlcache2.db
Creo que es seguro sudo rm /var/db/crls/*
porque la carpeta solo contiene archivos de caché. Pero si decide hacerlo, hágalo bajo su propio riesgo.
La pregunta es literalmente "¿Hay alguna manera de pedirle a Security Framework que me diga qué es exactamente lo que está mal con el certificado en su opinión?" Pero esto es literalmente lo que está haciendo el marco de seguridad.
MacOS cree que ese certificado fue revocado porque un certificado intermedio en su cadena de confianza fue revocado (sin darse cuenta). Ver El error de GlobalSign cancela los certificados HTTPS de los principales sitios web .
El mensaje de error que está viendo le dice exactamente qué certificado intermedio fue revocado. ¿Qué más te gustaría saber?
La otra opción es ir a un sitio que nunca usa que usa signo global, por ejemplo (para cualquier hablante de inglés) https://it.wikipedia.org (wikipedia en italiano) y cuando aparece diciendo certificado no válido, confíe explícitamente en el signo global. certificado hasta que este CF se arregle correctamente
Somatik
Panda
pietrodn
klanomath
kirelagina