कैसे बताएं कि macOS क्यों सोचता है कि एक प्रमाणपत्र निरस्त हो गया है?

42

मैं अपने दोनों मैक पर विकिपीडिया का उपयोग नहीं कर सकता। macOS का कहना है कि विकिपीडिया के प्रमाण पत्र ( GlobalSign Organization Validation CA - SHA256 - G2) पर हस्ताक्षर करने के लिए इस्तेमाल किए गए मध्यवर्ती प्रमाणपत्र को निरस्त कर दिया गया है।

मुझे विश्वास नहीं है कि प्रश्न में प्रमाण पत्र निरस्त कर दिया गया है, इसलिए मैंने स्वयं GlobalSign की CRL और OCSP सेवा की जाँच की और दोनों ने मुझे बताया कि प्रमाणपत्र ठीक है।

क्या CRLs के अन्य स्रोत हैं जो macOS संभावित रूप से उपयोग कर सकते हैं? क्या सुरक्षा ढांचे से यह पूछने का कोई तरीका है कि मुझे यह बताना चाहिए कि इसके विचार में प्रमाणपत्र में क्या गलत है?

— kirelagin
स्रोत

यह भी विकिपीडिया / अधिकतमकांड / ... के लिए इसे देखकर

— सोमेटिक

1

विकिपीडिया पर आने पर मैंने अपने मैक (सिएरा) पर भी इसका सामना किया है। यह मेरे iOS डिवाइस पर काम करता है

— पांडा

1

विकिपीडिया सभी साइटों पर एक नया प्रमाणपत्र तैनात कर रहा है जो अभी समस्याओं से अप्रभावित है: phabricator.wikimedia.org/T148045

— pietrodn

3

नीचे दिए गए उत्तरों में से कोई भी प्रश्न का उत्तर देने का प्रयास नहीं करता है। वे सभी एक काम खोजने की कोशिश करते हैं ...

— क्लानोमथ

1

@klanomath मैं इसे इस तरह से रखूंगा: हर कोई मूल कारण जानने के परिणामों को खत्म करने की कोशिश कर रहा है, जबकि क्यूईओन समस्या का निदान कैसे करना है।

— कीर्लगिन

40

मैंने कोशिश की crlrefresh rpहै और यह भी मैन्युअल रूप से OCSP कैश हटाने sudo rm /var/db/crls/*cache.dbके रूप में ग्लोबलसाइन द्वारा प्रलेखित ।

हालांकि, कैश macOS 10.12 सिएरा पर एक अलग स्थान पर लगता है। निम्नलिखित कमांड ने मेरे लिए काम किया और समस्या को हल किया:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

मैंने पूरे डेटाबेस को हटाने की भी कोशिश की, लेकिन यह अपने आप वापस नहीं आता है।

अनिश्चित हैं, तो बेहतर बस बहाल ~/Library/Keychains/*/ocspcache.sqlite3*(सहित -shmऔर -wal) बैकअप से पहले OCSP सर्वर कल से उदाहरण के लिए, गलत उत्तर देने के लिए शुरू कर दिया।

— raimue
स्रोत

3

मैं macOS सिएरा का उपयोग कर रहा हूं, और इस sqlite कमांड ने मेरे लिए भी समस्या तय कर दी है। मुझे लॉगआउट करने या ब्राउज़र छोड़ने की आवश्यकता नहीं थी। मैंने सबसे पहले ocspcache.sqlite3 की बैकअप कॉपी बनाई।

— डेन रीज़

1

इसने सफारी पर विकिपीडिया मुद्दे को ठीक किया, लेकिन क्रोम अभी भी मुझे ब्लॉक करता है।

— बेन्स्टर

समस्या कभी-कभार वापस आती दिखती है, लेकिन उस आदेश को फिर से चलाने से यह फिर से ठीक हो जाता है।

— डेन रीज़

वाह, और "कभी-कभार" से, मेरा मतलब है हर कुछ मिनटों के बारे में। हो सकता है कि सब के बाद एक असली तय नहीं है।

— डेन रीज़

1

यह मेरे लिए सफारी पर और क्रोम पर भी काम करता है। क्रोम को ब्राउज़र को पुनरारंभ करने की आवश्यकता थी।

— पिएट्रोडन

19

ऐसा हो सकता है, ऐसा लगता है कि GlobalSign को उनके OCSP के साथ एक समस्या मिल गई है। यह उनके ट्विटर ( https://twitter.com/globalsign/status/786505261842247680?lang=da ) से लिया गया है

वर्तमान में हम अपने OCSP के साथ समस्याओं का सामना कर रहे हैं जो प्रमाणपत्र चेतावनी संदेशों का कारण बन रहा है। हम जल्द से जल्द इसे ठीक करने का लक्ष्य रखते हैं।

और भी

अद्यतन: यदि आप एक मैक उपयोगकर्ता हैं, तो कृपया अपना कैश साफ़ करें crlrefresh rp

या CRL, OCSP कैश देखें और / या हटाएं

— माइकल हैनसेन
स्रोत

1

दरअसल, मैंने पहले ही कोशिश कर ली है crlrefresh rpऔर यह मदद करने के लिए नहीं लगता है। वैसे भी, जो मैं देख रहा हूं वह मुझे सही कारण बताने के लिए macOS को मनाने का एक तरीका है कि यह क्यों सोचता है कि प्रमाण पत्र खराब है (जैसा कि यह OCSP है या कुछ और है)।

— kirelagin

प्रभाव संभवतः इस बात पर निर्भर करेगा कि क्या अपस्ट्रीम मुद्दों को हल किया गया है?

— आंद्रे एम

क्लीयरिंग कैश ने मेरे लिए समस्या को ठीक नहीं किया, लेकिन कम से कम मेरे पास समस्या के लिए एक अटेंशन है।

— जॉर्डन थॉमस

: वहाँ अब तरह की एक प्रेस विज्ञप्ति जारी है globalsign.com/en/customer-revocation-error

— पेट्र Hudeček

0

ग्लोबल साइन द्वारा दिए गए निर्देश की कोशिश की, लेकिन यह वास्तव में मेरी मदद नहीं की।

sudo rm /var/db/crls/*cache.dbवास्तव में मदद नहीं की क्योंकि एक और कैश फ़ाइल है crlcache2.dbजो *cache.dbमानदंडों से मेल नहीं खाती ।

मेरा समाधान यह फ़ाइल भी निकालना था, और फिर रिबूट करना था।

sudo rm /var/db/crls/crlcache2.db

मुझे लगता है कि यह सुरक्षित है sudo rm /var/db/crls/*क्योंकि फ़ोल्डर में केवल कैशे फाइलें होती हैं। लेकिन अगर आपने इसे करने का विकल्प चुना है, तो इसे अपने जोखिम पर करें।

— DawTaylor
स्रोत

0

MacOS का मानना है कि प्रमाणपत्र निरस्त कर दिया गया था क्योंकि उसके विश्वास की श्रृंखला में एक मध्यवर्ती प्रमाणपत्र (अनजाने में) निरस्त कर दिया गया था। देखें ग्लोबलसाइन पेंच-अप रद्द शीर्ष वेबसाइटों 'HTTPS प्रमाणपत्र ।

जो त्रुटि संदेश आप देख रहे हैं, वह आपको बता रहा है कि कौन सा मध्यवर्ती प्रमाणपत्र निरस्त किया गया था। आप और क्या जानना चाहेंगे?

— एरिक टावर्स
स्रोत

-3

दूसरा विकल्प एक ऐसी साइट पर जाना है जिसका आप कभी भी उपयोग नहीं करते हैं, जो कि ग्लोबसलाइन का उपयोग करता है, उदाहरण के लिए (किसी भी अंग्रेजी बोलने वाले के लिए) https://it.wikipedia.org (इटालियन विकिपीडिया) और जब यह आता है तो अमान्य प्रमाणपत्र स्पष्ट रूप से ग्लोबसाइन पर भरोसा करते हैं प्रमाणपत्र जब तक यह सीएफ ठीक से तय नहीं हो जाता

— साइमन
स्रोत

3

यह एक बुरा विचार है, IMO। मैं हमेशा प्रमाण पत्र चेतावनी को बहुत गंभीरता से लेता हूं और मैं जारी नहीं रखता। क्या होगा अगर ओपी MITM'd था और वे बस आँख बंद करके उस चेतावनी के माध्यम से क्लिक करते थे?

— ग्रूवप्लेक्स

1

कृपया ऐसा न करें। यदि वह प्रमाणपत्र कभी महत्वपूर्ण कारणों से निरस्त कर दिया जाता है, तो आपका सिस्टम उस निरसन को अनदेखा कर देगा जब तक आप स्पष्ट विश्वास को नहीं हटा देते। इस समस्या को हल करने के लिए अपने OCSP कैश को फ्लशिंग करना अधिक प्रभावी और सुरक्षित तरीका है।

— जोशरी