¿Por qué OS X no confiará en el certificado SSL de GitHub?

68

Cuando voy a cualquier página de github.com en Chrome, aparece un gran error feo:

Intentó comunicarse con github.com, pero el servidor presentó un certificado emitido por una entidad en la que el sistema operativo de su computadora no confía. Esto puede significar que el servidor ha generado sus propias credenciales de seguridad, en las cuales Chrome no puede confiar para obtener información de identidad, o un atacante puede estar tratando de interceptar sus comunicaciones.

No puede continuar porque el operador del sitio web ha solicitado una mayor seguridad para este dominio.

Lo mismo sucede (en Chrome y con curl) cuando voy a https://www.digicert.com/ también. Este extraño problema comenzó hace aproximadamente una semana y media.

Esto es lo que veo cuando hago clic en el icono del candado roto en la barra de direcciones:

GitHub.com está roto Información del certificado de GitHub.com

Pero gist.github.com funciona bien:

Gist.GitHub.com funciona Información del certificado de Gist.GitHub.com

Tampoco funciona con curl:

No funciona con rizo

Todo funciona bien en Firefox.

¿Cómo puedo solucionar mi problema de CA raíz?

Así es como se ve en Firefox:

ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí

Actualizar:

Noté que el primer certificado de la cadena es diferente en mi Chrome / Safari roto en comparación con Chrome en mi otra computadora.

ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí

(Ya no hay una X roja desagradable porque confié en Safari). ¿Ves cómo los emisores son diferentes? ¿Qué puedo hacer con eso?

Trevor Dixon
fuente
Hay una diferencia entre * .github.com y github.com ¿qué navegador está utilizando?
Ramhound
Cromo. Está roto en Chrome, pero funciona en Firefox. No funciona con rizo.
Trevor Dixon
¿Puedes publicar la información de Firefox que muestra que el certificado no tiene errores?
Ramhound
Se agregaron imágenes de Firefox en la parte inferior.
Trevor Dixon
Mismo problema con digicert.com en sí.
Trevor Dixon

Respuestas:

42

esto funcionó para mí:

Keychain.app > Preferences > General > Reset My Default Keychain

ACTUALIZAR

Una opción menos drástica es eliminar el certificado DigiCert del llavero de inicio de sesión : de todos modos, ya debería tener uno en el llavero raíz. Este error parece ocurrir cuando los dos no coinciden.

evacchi
fuente
2
Parece drástico ...
JLundell
3
Creo que eliminar el certificado en el llavero de inicio de sesión también podría funcionar. Si lo he entendido correctamente, DigiCert está en el llavero raíz de todos modos. Vale la pena intentarlo antes de reiniciar. (Por supuesto, copia de seguridad, etc., etc.)
evacchi
Sí, eso funcionó para mí. Desconcierte por qué está en el llavero de inicio de sesión. En el examen, las dos versiones no son idénticas; curioso de dónde vino la versión de inicio de sesión.
JLundell
Es bueno saberlo, actualizaré la respuesta.
evacchi
3
Por otro lado: problemas similares podrían ser causados ​​por tener un certificado raíz caducado en el Llavero de inicio de sesión, que anula los certificados actualizados de las Raíces del sistema. Para mostrarlos, habilite "Mostrar certificados caducados" en el menú "Ver".
Arjan
79

Existe un nuevo problema a partir del 26 de julio de 2014 cuando expiró un certificado antiguo, aparentemente casi extendido.

Basado en https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Instrucciones para borrar el certificado SSL de DigiCert caducado en OSX

 
  1. Lanzamiento de acceso a llavero a través de Spotlight
    • ⌘-Espacio
    • Escriba "Acceso de llavero"
    • Pulsa retorno
  2. Asegúrese de que se muestren los certificados vencidos; active "Mostrar certificados caducados" en el menú "Ver".
  3. Busca "Digicert".
  4. Haga clic derecho en el certificado con una X roja y seleccione "Eliminar DigiCert High Assurance EV Root CA"
  5. Es posible que el certificado no parezca eliminado hasta que se reinicie Keychain Access
  6. Reinicia tus navegadores
Una vez más, debería poder acceder a los sitios afectados.

 

Allen Hancock
fuente
2
La eliminación del certificado no ayudó, he reiniciado mi computadora. El problema persiste. ¿Alguna idea?
Aviel
9
Ok, probablemente eliminé demasiados certificados digi, fui aquí digicert.com/digicert-root-certificates.htm y descargué el certificado "DigiCert High Assurance EV Root CA".
Aviel
1
@Aviel Gracias, descargar y reinstalar ese certificado lo hizo por mí.
Tim Scott
1
Esto funcionó a las mil maravillas para mí, y también resolvió el problema similar con safari (como era de esperar). Sin embargo, necesitaba reiniciar Chrome.
biggusjimmus
¡Excelente! Esto funcionó para mí. Gracias @Allen Hancock :)
Mark Robson
1

Acabo de probar la solución de John, y no me ayudó. Aunque en mi caso, no encontré ninguno de los íconos "azul +" en la Clase.
Entonces, todo lo que hice fue eliminar los dos archivos de caché sugeridos y reiniciar.
En mi caso, estoy tratando de actualizar una aplicación en Macports, que usa git para conectarse a github para descargar la fuente, y eso está dando el error. Y veo el error en Safari, pero no en Firefox.

Después de lo anterior, me puse en contacto con DigiCert y me ayudaron mucho a resolverlo. En Keychain Access-> System Roots Category: Certificados

DigiCert High Assurance EV Root CA-> Trust-> SSL change from: sin valor especificado para: Always Trust GTE CyberTrust Global Root-> Trust-> SSL change from: sin valor especificado para: Always Trust

usuario2965673
fuente
1

Para mí, el problema se resolvió iniciando la utilidad Keychain Access, seleccionando Keychain First Aid en el menú Keychain Access y seleccionando Reparar.

Keith Bennett
fuente
Al hacer clic en reparar parece haber borrado todos mis certificados, por lo que podría ser un subproducto.
Gris
0

Tuve un problema con varios certificados SSL hace un tiempo, descubrí que esto funciona para el 90% de esos problemas.

Elimine los archivos /var/db/crls/crlcache.db y /var/db/crls/ocspcache.db. Estos se pueden encontrar usando Finder's Go>; Ir al menú Carpeta (Cmd + Shift + G). Esto restablece el caché de certificados aceptados en el sistema. No los elimina, solo obliga al sistema a reconstruir los cachés al reiniciar.

Acceso a llavero abierto (/ Aplicaciones / Utilidades / Acceso a llavero). Seleccione Certificados en el selector de categoría en el lado izquierdo. En la barra de búsqueda, escriba la palabra Clase. Mire a través de esa lista y encuentre cualquier certificado que tenga un símbolo azul + sobre su icono. Estos son los que necesita modificar.

Seleccione uno que tenga un + azul, y presione Comando + I. Haga clic en el triángulo de revelación al lado de la lista "Confianza" para mostrar la lista de permisos. Ahora, lo que debemos hacer es configurar este certificado para usar los valores predeterminados del sistema. Sin embargo, por alguna razón, cuando lo selecciona, no se guarda. Entonces, lo que debes hacer es esto. En "Confianza", donde dice "Capa de sockets seguros (SSL)", cambie el menú desplegable para decir "Sin valor especificado". Luego, cierra la ventana. Le pedirá sus permisos de administrador. Luego, abra nuevamente el panel de información para ese certificado. En "Confiar" nuevamente, configure ahora el menú desplegable que dice "Al usar este certificado:" para decir "Usar valores predeterminados del sistema". Luego puede cerrar el panel de información e ingresar nuevamente su contraseña. Haga esto para cualquiera de los certificados que tengan un + azul en su icono. Solo debe haber uno o dos como máximo.

Reinicia tu sistema.

Avíseme si eso funciona, sería curioso si eso funciona.

Como SIEMPRE tienes una copia de seguridad con Time Machine, porque si empeora, ¡al menos puedes volver!

John Marc
fuente
0

Para aquellos que eliminaron el certificado caducado pero aún tienen el problema. Inicie el acceso al llavero, vaya al elemento del menú correspondiente, seleccione "primeros auxilios del llavero", ejecute un control, realice una reparación, luego ejecute un control nuevamente para asegurarse. El problema debería desaparecer.

Kurt Bussche
fuente
Esto parece ser lo mismo que la respuesta de Keith Bennett el 6 de julio
Scott
0

Esto me ayudó a:

(cromo, OsX)

  1. Abrir Keychain.app
  2. Buscar "digicert" en la esquina superior derecha de Keychain.app
  3. Seleccione todos los certificados digicert y elimínelos con el botón derecho y el menú contextual ( http://screencast.com/t/2T4f1XQa0Xu )
  4. Vaya aquí http://digicert.com/digicert-root-certificates.htm
  5. Encuentre en la página y descargue el certificado de CA raíz de DigiCert High Assurance EV
  6. Cuando lo descargue, haga clic en él e instálelo en su llavero
  7. Reinicia tu Chrome
Nedudi
fuente
0

Seguí el consejo de Allen pero no funcionó para mí. Entonces intento esto. Parece que funciona

  1. Sigue todos los pasos de Allen.
  2. Abra el sitio afectado en Safari (por ejemplo: github.com).
  3. Le avisará este cuadro de alerta. Haga clic en 'Mostrar certificado'. ingrese la descripción de la imagen aquí
  4. En el menú desplegable 'Al usar este certificado:', seleccione 'Confiar siempre'. Los 2 menús desplegables a continuación seguirán la misma regla que seleccionó aquí. ingrese la descripción de la imagen aquí
  5. Abra Chrome, intente acceder al sitio afectado (por ejemplo: github.com).

He intentado esto Facebook se carga normalmente. Pero, github cargado sin CSS. Tengo esqueleto github. No sé por qué sucede esto. Pero la conexión ya está establecida y está bien.

¿Alguna idea chicos?

Zulhilmi Zainudin
fuente
0

Después de pasar muchas horas tratando de arreglar esto, descargué: Link ;

  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA
  • DigiCert Assurance ID Root CA

No tengo idea si esta buena práctica, pero está funcionando para mí. Estoy ejecutando OSX 10.9.5 y Chrome 42.0.2311.152 (64 bits)

Stuart
fuente
0

Trabaja para mí en MAC 10.10.3 1) Abre el acceso al llavero 2) Busca DigiCert High Assurance EV Root CA 3) Haz doble clic en DigiCert High Assurance EV Root CA 4) En Windows DigiCert High Assurance EV Root CA selecciona TRUST 5) cambia con el menú desplegable menú activado cuando se usa este certificado con SIEMPRE CONFIANZA HECHO

suryo
fuente
0

Encontramos el siguiente en línea. Estaba seguro de que era una broma como la forma en que solías engañar a alguien para presionar ALT + F4 en Windows, pero funcionó para mí y para un compañero de trabajo:

  1. Haga clic en cualquier parte del marco de Chrome afectado
  2. En el teclado, escriba: peligro

Eso es todo, la página se carga. El CSS no se carga, por lo que simplemente "Ver código fuente", haga clic en el archivo css y verá el mensaje de error nuevamente. Repita los pasos anteriores y se mostrará el CSS. Luego actualiza la página de Github y todo está bien.

Alan P.
fuente