La actualización de Mac OS X Lion 10.7.2 rompe SSL

14

Resumen

Después de actualizar de 10.7.1 a 10.7.2, ni Safari ni Google Chrome pueden cargar GMail. Spinning Beachballs por todas partes.

El problema no es GMail; Firefox carga GMail muy bien.

El problema no se limita a Safari o Google Chrome; Otras aplicaciones también tienen problemas con SSL: Gilgamesh y Safari. Cualquier programa que use WebKit (Google Chrome, Safari) o una biblioteca de Cocoa (Gilgamesh) para acceder a Internet tiene problemas para cargar sitios seguros.

Los diversos foros en línea sugieren algunas soluciones, ninguna de las cuales funciona.

Análisis

Solución # 1: Abra Keychain Access.app y elimine el certificado Desconocido

La actualización 10.7.2 también evita que se cargue Keychain Access. El programa Keychain en sí Spinning Beachballs.

Arreglo # 2: Eliminar ~ / Library / Keychains / login.keychain y /Library/Keychains/System.keychain.

Esto resuelve temporalmente el problema y le permite cargar sitios seguros, pero un minuto o dos después de reiniciar o hibernar de alguna manera deshace mágicamente la solución, por lo que debe eliminar estos archivos una y otra vez.

Solución # 3: Eliminar ~ / Library / Application \ Support / Mob * y / Library / Application \ Support / Mob *.

Existe el rumor de que el nuevo servicio MobileMe / iCloud ubd está causando el problema. Esta solución no resuelve el problema.

Solución n. ° 4: abra el acceso de llavero, abra las preferencias y desactive OCSP y CRL

Esta solución no resuelve el problema.

Solución # 5: Use el instalador combinado 10.7.0 -> 10.7.2, en lugar del instalador 10.7.1 -> 10.7.2.

Cuando ejecuto el instalador combinado , permanece para siempre en la pantalla "Validando paquetes ...". El instalador combo en sí está en error en He ||

http://speely.files.wordpress.com/2011/10/validating-packages.png

Salí por la fuerza del instalador, ejecuté "sudo killall installd" para cerrar por la fuerza el proceso de instalación en segundo plano y volví a ejecutar el instalador combinado.

Mismo problema: se detiene en "Validación de paquetes ..."

Resumen

La única solución que funciona es eliminar los llaveros, pero debes hacerlo cada vez que reinicies o te despiertes de la hibernación. Existe alguna evidencia de que ubd corrompe continuamente los archivos de llavero, pero la solución sugerida para eliminar ~ / Library / Application \ Support / Mob * y / Library / Application \ Support / Mob * no resuelve este problema.

Evidentemente, algo está corrompiendo el llavero una y otra vez.

También publicado en las Comunidades de soporte de Apple .

mcandre
fuente
Hay algún problema aquí en mi MacBookPro y mi iMac27, pero solo ocurre cuando estoy activando WiFi. Mientras trabajo solo en LAN, todo está bien. Tiene que quedarse con 10.7.0 siempre y cuando este problema no se resuelva :-(
Thomas Hübner
No estoy tratando de "yo también" aquí, pero gmail funciona bien para mí en 10.7.2 y Safari 5.1.2. ¿Qué tipo de complementos estás ejecutando en Safari? Glims, click2flash, etc.
skub
¿Está esto arreglado en 10.7.3?
Tyilo

Respuestas:

2

Nuestra persona de soporte de Mac ha tenido éxito al ejecutar DiskWarrior para solucionar el problema. Ninguno de sus clientes ha informado que el problema vuelva a aparecer hasta ahora.

ACTUALIZAR:

He descubierto una solución. El problema está sucediendo porque el portal cautivo responde a TODO. Ajusté el DNS del portal cautivo para dar malos resultados para los sitios OCSP y CRL. Usé 127.0.0.1 en este caso. Las solicitudes ahora expiran en lugar de devolver datos incorrectos. También funciona localmente cambiando "/ private / etc / hosts" y agregando entradas como esta:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Las entradas correctas pueden depender de la CA para el certificado. Encontré estas direcciones mientras miraba la conexión usando Wireshark.

José
fuente
¿Ayudaría Disk Utility o Onyx, o tiene que ser DiskWarrior?
mcandre
@mcandre Todavía estamos tratando de descubrir qué hace DiskWarrior para solucionar el problema. No es obvio por los archivos de registro que produce.
Joseph
2

¿Puedo agregar que MobileMe ahora es iCloud, por lo que la carpeta no es Application Support / Mobi *, sino Application Support / Ubiquity?

Eliminar eso, aunque tuve resultados mixtos. Solo funcionó 1/3 veces. La forma en que definitivamente funciona es eliminar:

~ / Library / Keychains / login.keychain y /Library/Keychains/System.keychain

Solo enjuague y repita. No estoy completamente seguro de cuándo se romperá el Acceso a Llaveros, pero en algún momento (normalmente unos 3 días para mí) todo deja de funcionar.

Firefox parece sortear las cosas y, si no desea hacer nada, puede desactivar OCSP en Firefox (acerca de: config) solo para iniciar sesión en su portal inalámbrico y luego recordar volver a activarlo. Sin embargo, esto no solucionará Safari o Chrome (¿cuál es la palabra en Opera?

Pero la mejor solución es restaurar a 10.7.1 o 10.7. Tuve el archivo DMG de antes y era 10.7.1. Hacer una "reinstalación" solo copia los archivos del sistema Lion y mantiene toda la instalación en forma. Entonces, realmente solo está reinstalando el sistema operativo, pero conserva TODAS sus aplicaciones y datos. Hasta ahora esto ha sido perfecto. Solo recuerde no actualizar a 10.7.2 si va a retroceder.

qwerasdf
fuente
Los sitios SSL que no funcionaron para mí con Safari o Chrome funcionaron para mí con Firefox, simplemente usando ese navegador.
RyanWilcox
Es porque Firefox usa un método de autenticación diferente que Safari o Chrome. Sin embargo, no es 100% confiable para mí en 10.7.2. A veces puedo abrir la página de inicio de sesión de mi portal cautivo en la escuela. Otras veces no puedo. La forma más segura es volver a 10.7.1. He estado en 10.7.1 durante aproximadamente 3 semanas ahora en comparación con el mes 1+ con 10.7.2 y es de día y de noche. No más reiniciar y eliminar archivos constantemente para que las cosas funcionen. Esperemos que 10.7.3 arregle las cosas.
qwerasdf
1

Desactivar las comprobaciones de OCSP y CRL es una muy mala idea. Esencialmente está diciendo que no le importa la revocación de certificados. Esto no es bueno dado el número de autoridades de certificación que han sido pirateadas en estos días. Es por eso que Apple actualizó su seguridad para portales cautivos. El problema está en la conexión del portal cautivo. Si va a uno, no puede verificar CRL u OCSP porque (¡duh!) Está en el portal cautivo. Quien proporcione este portal, también debe hacer agujeros en su firewall para permitirle salir del portal cautivo para verificar los certificados que la página del portal cautivo https le está dando. Tuvimos que hacer esto en nuestro sistema inalámbrico empresarial antes de que Lion pudiera llegar a cualquier parte.

Bruce
fuente
1

Después de semanas de frustración con este problema constantemente recurrente (y esperando que Apple lance una solución), decidí buscar cualquier solución que retroceda desde la actualización 10.7.2. Desafortunadamente, no encontré ninguna forma de hacer una reversión a 10.7.1 o 10.7.0.

Por lo tanto, decidí usar Lion Recovery y ver cómo afecta la situación. Realicé el procedimiento de recuperación siguiendo los pasos descritos en este artículo de soporte de Apple .

¡Me complace informar ahora que en mi caso, el problema ha desaparecido (es de esperar)! Por alguna razón, a pesar de que el proceso de recuperación de Lion reinstaló OS X a la versión 10.7.2, no he tenido ningún problema con Keychain o SSL desde hace más de una semana.

Utilicé el modo de recuperación en línea y parece que la versión de OS X que se descarga durante el proceso de recuperación tiene algún tipo de configuración que no corrompe el llavero. El proceso de recuperación de Lion fue súper fluido y no tuve que reinstalar ninguna aplicación ni recuperar archivos de la copia de seguridad (aún así recomendaría hacer copias de seguridad). Mi MacBook Pro es la versión 5,1.

Esta es la primera vez para mí que la actualización de seguridad de Apple ha roto OS X de una manera tan grande. Todavía me pregunto por qué no han publicado una corrección / actualización para corregir este problema.

Pyry Liukas
fuente
Actualización: Lion Recovery no proporciona una solución permanente. Pude usar Safari / Chrome durante algunas semanas cuando el problema volvió a ocurrir. Así que me entristece informar que esto no proporciona una solución permanente como esperaba :(
Pyry Liukas
1

(YMMV pero funcionó para mí): desactivé la red, reinicié para eliminar el problema del llavero o de lo contrario se congela el acceso al llavero, no es necesario eliminar nada. Luego, desactivé el OCSP y la CRL. Activé la red ... Me conecté a mi portal cautivo y luego reactivé todo.

El problema es que el portal cautivo requiere certificados, pero bloquea la cadena de certificados. Gracias por el otro que sugiere esto.

Sakamura
fuente
1

En mi experiencia, esto sucede solo cuando se conecta detrás de un portal cautivo. Creo que la razón es que el sistema operativo intenta validar el certificado de la página de inicio de sesión del portal cautivo, pero el proceso de validación requiere acceso a Internet. Pude solucionar este problema agregando manualmente el certificado de la página del portal cautivo al llavero y marcándolo como siempre de confianza.

Puede exportar el certificado con los siguientes pasos:

  1. Visita la página del portal cautivo en Firefox
  2. Seleccione Tools > Page Info > Security > View Certificate > Details > Export
  3. Guarde el certificado en su disco duro con la extensión ".crt"

Puede importar el certificado con los siguientes pasos:

  1. Abierto Keychain Access.app
  2. Arrastre el certificado del Finder a un llavero
  3. Haga doble clic en el certificado y expanda la sección "Confianza"
  4. Elija "Al usar este certificado: Always Trust"
  5. Cerrar la ventana emergente

Si no se puede abrir porque su acceso a llaves llavero está dañado, desactivar la conexión inalámbrica, borrar ~/Library/Keychains/login.keychainy /Library/Keychains/System.keychainreiniciar el sistema y, a continuación.

Jonathan Potter
fuente
0

Encontré el problema. Es causado por la corrección de seguridad en 10.7.2 (Secuestro de portal cautivo de seguridad). Es probable que una de las redes a las que está conectado tenga un sitio de portal, donde puede ingresar datos de inicio de sesión ... para mí fue la red WiFi.

Para resolver este problema por ahora, desactive todas las redes, reinicie, inicie llavero, vaya a preferencias, certificados, apague OCSP y CRL. Reinicia, activa tus redes y listo ...

Thomas Hübner
fuente
1
Gracias, pero deshabilitar OCSP y CRL no funciona para mí. Además, el llavero se sigue corrompiendo.
mcandre
0

Lo logré haciendo el "arreglo # 2" como se indicó anteriormente.

En terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

y luego reiniciar.

Riotaro OKADA
fuente
2
O, por el momento, usuario conectado: cd ~/Library/keychains. Además, no sé de dónde removevino su comando, pero eso no es estándar. rm login.keychainFunciona en cualquier Mac.
Arjan