¿Cómo saber por qué macOS cree que se revoca un certificado?

42

No puedo acceder a Wikipedia en mis dos Mac. macOS dice que el certificado intermedio utilizado para firmar el certificado de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) ha sido revocado.

ingrese la descripción de la imagen aquí

No creo que el certificado en cuestión haya sido revocado, así que verifiqué manualmente el servicio CRL y OCSP de GlobalSign y ambos me dicen que el certificado está bien.

¿Existen otras fuentes de CRL que macOS pueda usar potencialmente? ¿Hay alguna manera de pedirle a Security Framework que me diga qué es exactamente lo que está mal con el certificado en su opinión?

security keychain sierra certificate kirelagin
fuente
también viendo esto para wikipedia / maxcdn / ...
Somatik
1
También me encontré con esto en mi Mac (Sierra) cuando visité Wikipedia. Sin embargo
Panda
1
Wikipedia está implementando en todos los sitios un nuevo certificado que no se ve afectado por los problemas, en este momento: phabricator.wikimedia.org/T148045
pietrodn
3
Ninguna de las respuestas a continuación intentan responder la pregunta. Todos ellos intentan encontrar una
solución
1
@klanomath Lo diría de esta manera: todos están tratando de eliminar las consecuencias conociendo la causa original, mientras que la pregunta es cómo diagnosticar el problema.
kirelagin

Respuestas:

40

Intenté crlrefresh rpy también eliminé manualmente el caché OCSP con sudo rm /var/db/crls/*cache.dblo documentado por GlobalSign .

Sin embargo, el caché parece estar en una ubicación diferente en macOS 10.12 Sierra. El siguiente comando funcionó para mí y resolvió el problema:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

También intenté eliminar toda la base de datos, pero no parece que vuelva automáticamente.

Si no está seguro, mejor simplemente restaure ~/Library/Keychains/*/ocspcache.sqlite3*(incluyendo -shmy -wal) desde una copia de seguridad antes de que los servidores OCSP comiencen a dar respuestas incorrectas, por ejemplo, desde ayer.

raimue
fuente
3
Estoy usando macOS Sierra, y este comando sqlite también me solucionó el problema. No necesitaba cerrar sesión, ni siquiera cerrar el navegador. Primero hice una copia de seguridad de ocspcache.sqlite3.
Dan Reese
1
Esto solucionó el problema de Wikipedia en Safari, pero Chrome todavía me bloquea.
benr
El problema parece volver ocasionalmente, pero volver a ejecutar ese comando lo soluciona nuevamente.
Dan Reese
Wow, y por "ocasionalmente", me refiero a cada pocos minutos. Tal vez eso no sea una solución real después de todo.
Dan Reese
1
A mí me funciona en Safari y también en Chrome. Chrome necesitaba reiniciar el navegador.
pietrodn
19

Podría ser esto, parece que GlobalSign tiene un problema con su OCSP. Esto está tomado de su twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Actualmente estamos experimentando problemas con nuestro OCSP que está causando mensajes de advertencia de certificado. Nuestro objetivo es solucionar esto lo antes posible.

Y también

ACTUALIZACIÓN: si es un usuario de MAC, borre su caché crlrefresh rp

o Ver y / o eliminar CRL, caché OCSP

Michael Hansen
fuente
1
En realidad, ya lo he intentado crlrefresh rpy no parece ayudar. De todos modos, lo que estoy buscando es una forma de persuadir a macOS para que me diga la razón exacta por la que cree que el certificado es malo (ya sea OCSP u otra cosa).
kirelagin
¿El impacto probablemente dependerá de si se han resuelto los problemas anteriores?
Andre M
Borrar cachés no solucionó el problema para mí, pero al menos tengo una atribución para el problema.
Jordan Thomas
Ahora hay una especie de comunicado de prensa: globalsign.com/en/customer-revocation-error
Petr Hudeček el
0

Intenté las instrucciones proporcionadas por Global Sign, pero en realidad no me ayudó.

sudo rm /var/db/crls/*cache.dbEn realidad no ayudó porque hay otro archivo de caché crlcache2.dbque no coincide con los *cache.dbcriterios.

Mi solución también fue eliminar este archivo y luego reiniciar.

sudo rm /var/db/crls/crlcache2.db

Creo que es seguro sudo rm /var/db/crls/*porque la carpeta solo contiene archivos de caché. Pero si elige hacerlo, hágalo bajo su propio riesgo.

DawTaylor
fuente
-3

La otra opción es ir a un sitio que nunca usa que usa globalsign, por ejemplo (para cualquier angloparlante) https://it.wikipedia.org (wikipedia italiana) y cuando aparece diciendo que un certificado no válido confía explícitamente en el globalsign certificado hasta que este CF se repare correctamente

Simon
fuente
3
Esta es una mala idea, OMI. Siempre tomo las advertencias de los certificados muy en serio y no continúo. ¿Qué pasa si OP estaba siendo MITM'd y simplemente hicieron clic ciegamente en esa advertencia?
grooveplex
1
Por favor no hagas esto. Si ese certificado se revoca alguna vez por razones importantes, su sistema ignorará esa revocación hasta que elimine la confianza explícita. Vaciar su caché OCSP es una forma mucho más efectiva y segura de resolver este problema.
joshperry