如何判断macOS为什么认为证书被吊销了?


42

我不能在两台Mac上都访问Wikipedia。macOS表示,用于签署Wikipedia证书(GlobalSign Organization Validation CA - SHA256 - G2)的中间证书已被撤销。

在此处输入图片说明

我不认为有问题的证书已被吊销,因此我手动检查了GlobalSign的CRL和OCSP服务,并且都告诉我该证书还可以。

macOS是否可以使用其他来源的CRL?有没有办法让Security Framework告诉我它认为证书到底出了什么问题?


也看到了Wikipedia / maxcdn / ...
Somatik '16

1
访问Wikipedia时,我也在Mac(Sierra)上遇到了此问题。不过,它可以在我的iOS设备上运行
Panda

1
维基百科目前正在所有站点上部署不受问题影响的新证书:phabricator.wikimedia.org/T148045
pietrodn

3
以下所有答案均未尝试回答该问题。他们所有人都试图找到解决方法……
klanomath 16-10-14

1
@klanomath我可以这样说:每个人都在设法消除造成其原因的后果,而问题是如何诊断问题。
kirelagin

Answers:


40

我尝试过crlrefresh rp并也sudo rm /var/db/crls/*cache.db按照GlobalSign的说明手动删除了OCSP缓存。

但是,缓存似乎在macOS 10.12 Sierra上的其他位置。以下命令对我有用,并解决了该问题:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

我也尝试删除整个数据库,但它似乎不会自动恢复。

如果不确定,最好在OCSP服务器开始发出错误答复之前(例如从昨天开始)从备份还原~/Library/Keychains/*/ocspcache.sqlite3*(包括-shm-wal)。


3
我正在使用macOS Sierra,并且此sqlite命令也为我解决了该问题。我不需要注销,甚至不需要退出浏览器。我确实首先制作了ocspcache.sqlite3的备份副本。
丹·里斯

1
这解决了Safari上的Wikipedia问题,但Chrome仍然阻止了我。
benr

该问题似乎偶尔会再次出现,但是重新运行该命令可以再次解决该问题。
丹·里斯

哇,“偶尔”是指大约每隔几分钟。毕竟这可能不是真正的解决方案。
丹·里斯

1
它适用于Safari和Chrome。Chrome需要重新启动浏览器。
pietrodn

19

可能是这样,GlobalSign似乎在他们的OCSP中遇到了问题。这是从他们的Twitter(https://twitter.com/globalsign/status/786505261842247680?lang=da)中获取的

当前,我们的OCSP遇到问题,这导致了证书警告消息。我们的目标是尽快解决此问题。

并且

更新:如果您是MAC用户,请使用以下命令清除缓存 crlrefresh rp

查看和/或删除CRL,OCSP缓存


1
实际上,我已经尝试过了crlrefresh rp,但似乎无济于事。无论如何,我正在寻找一种说服macOS告诉我它认为证书不好的确切原因的方法(无论是OCSP还是其他)。
kirelagin

影响可能取决于上游问题是否已解决?
安德烈·M

清除缓存并不能解决我的问题,但是至少我对此有一个归因。
约旦·托马斯

现在有各种各样的新闻稿:globalsign.com/en/customer-revocation-error
PetrHudeček16年

0

尝试了Global Sign提供的说明,但并没有真正帮助我。

sudo rm /var/db/crls/*cache.db实际上没有帮助,因为还有另一个crlcache2.db不符合*cache.db条件的缓存文件。

我的解决方案是也删除此文件,然后重新启动。

sudo rm /var/db/crls/crlcache2.db

我认为这是安全的,sudo rm /var/db/crls/*因为该文件夹仅包含缓存文件。但是,如果您选择这样做,则后果自负。



-3

另一种选择是转到您从未使用过的使用globalsign的站点,例如(对于所有讲英语的人)https://it.wikipedia.org(意大利语Wikipedia),并在出现错误消息时明确表示无效证书明确信任globalsign证书,直到正确修复此CF


3
IMO,这是一个坏主意。我总是非常认真地对待证书警告,因此我不会继续。如果OP正在进行MITM操作并且他们只是盲目地单击该警告该怎么办?
凹槽复线

1
请不要这样做。如果该证书由于重要原因而被吊销,那么您的系统将忽略该吊销,直到您删除显式信任为止。刷新OCSP缓存是解决此问题的更有效,更安全的方法。
joshperry
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.