如何在Mac OS X v10.8中替换丢失的根证书和中间证书


4

让我先说一下这个事实,我对网络/安全性等一无所知。现在两次,我遇到了根证书无法正常工作和抛出错误的问题,即使它们仍然有效。

这是我上一篇文章的链接,该文章是在更新操作系统后修复的(此时,我无法进一步更新,因为我的系统基于需要它的旧软件被冻结)。

Safari无法验证网站错误的身份

现在,同样的问题再次发生,我无法弄清楚该怎么做。我一直担心这是一次MiTM攻击,但此时不知道如何解决这个问题。我删除了Keychain旁边有一个红色x的密钥,并尝试通过Pacifist重新安装密钥,但它仍然无法正常工作(同样,我在使用Pacifist方法后现在没有看到Key,所以我不是确定如何取回它,但网站仍然抛出错误。

在此输入图像描述

如果有人有任何建议来解决这个问题(因为我想安全地进入一些需要这个的网站),或者解决整个问题,我会非常高兴(我会尽快提供声望点)是开放的还是将直接发送,如果有可能的话,如果有人帮我解决这个问题的话,那就更快了。

我目前在OS 10.8.5上。

编辑:
我安装了它现在说,在“InCommon RSA Standard Assurance Client CA”下 - 这个证书是由一个未知的权威机构签署的。“我还有3到4个其他登录证书显示错误,每个都有一些关于“InCommon RSA标准保证客户端CA”的消息。奇怪的是,另一个证书显示没有由InCommon RSA标准保证客户CA签名但有不同的到期日期的错误。我迷路了。我可以如有必要,张贴所有错误的照片。

更新:从10.8.5升级到10.10.5。证书问题仍然存在。


几乎是香草的10.8.5我在这里开绿灯!您缺少整个证书链中的根证书“AddTrust外部CA根”(2000年5月30日发布)。
klanomath 2017年

我删除了它,因为它被标记为已过期,即使未超过到期日期。
joe_04_04

你可以在这里下载(直接d / l链接)。它显示与我的ML系统中相同的值(当然包括sha / md5),您可以将它添加到您的System-Roots钥匙串中。
klanomath 2017年

@klanomath,谢谢你的帮助,但我试图导入它,Keychain中的消息说“发生错误,无法导入项目:无法检索此项目的内容。” 您下载的文件名为“AddTrustExternalCARoot.crl”这是正确的吗?
joe_04_04 2017年

我建议你先找出你是否真的遇到过中间人的攻击,然后才能解决你面临的问题。请参阅security.stackexchange.com/questions/93869 / ...
肯尼迪先生

Answers:


2

我的第一个最佳选择是备份您的文件,完全擦除机器并从已知良好的媒体重新安装操作系统。特别是因为你说这个问题已经持续了一段时间,你无法回想起你所做的所有改变。这是最快,最安全的选择。

如果这不是一个选项,那么您需要下载并替换已删除的所有根证书。找到您信任的计算机并使用它从可信站点下载根证书或中间证书。每次收到“由不受信任的颁发者签名”的消息时,您需要找到用于签名的证书,下载并安装它。这是摆脱这些错误的唯一方法。对不起,但没有快速解决方案可以解除此损害。

最后,我会认真地,强烈建议更新到将安装在Mac上的最新版本的macOS。你好像担心安全问题。运行Apple于2015年8月停止修补(即放弃)的操作系统并不是一个好主意。如果因为软件没有更新而被迫使用10.8.5,那么现在是时候放弃它们,甚至在这里发布问题,寻求帮助,让他们使用更新版本的macOS或者找到替代品。


我希望能够升级我的Mac,但它不是几个软件,它是数百个。我将它用于工作室制作,并使用较旧的音频插件运行较旧版本的专业工具。升级我的插件和PT装备的总金额将达到数千。在这个操作系统上冻结真的很糟糕。我有一台完全干净的MacBook Air运行最新版本的Sierra,我应该尝试获得这些证书吗?这是一个很好的程序吗?
joe_04_04 2017年

它可能愿意升级到Pro Tools 11支持的最新版操作系统(
10.10.5

从10.8.5更新到10.10.5。证书仍然搞砸了。
joe_04_04 2017年

@ joe_04_04很高兴听到你跳到仍在接收安全更新的操作系统,但对不起,如果我不清楚。我的意思是你应该擦除机器并安装更新版本的操作系统,而不仅仅是升级到位。
Alistair McMillan

做“恢复模式”安装就够了吗?我假设从10.8.5到10.10.5的组合升级没有安装与钥匙串相关的任何东西,因为没有任何改变,但恢复模式安装应该完全取代整个操作系统,而不仅仅是像组合一样添加它的一部分更新呢。我知道这个STILL不如擦机器和进行干净安装,然后将每个项目安装回原来的样子,但我已经为我的家庭工作室安装了这么多,如果没有在我的低速连接上几个月以相同的方式(或关闭)修复它。
joe_04_04 2017年

1

下载并安装从Comodo链接的AddTrust外部CA根


我安装了它现在说,在“InCommon RSA Standard Assurance Client CA”下 - 这个证书是由一个未知的权威机构签署的。“我还有3到4个其他登录证书显示错误,每个都有某种有关“InCommon RSA Standard Assurance Client CA”的消息
joe_04_04

1

我知道你想要修复你的Apple证书,我很抱歉你遇到了问题。首先,你需要了解最初的证书是什么,以及它们在企业驱动的3D代理互联网的新现代经济中已经变成了什么。证书是一个文本文件,通常有1024 2048等字符。换句话说,root和用户证书只是两个保持数学关系的单独文本文件。

继续比较Google Android Studio和Xcode iTunes Submit的证书安装过程。使用Xcode,您需要Apple的整个跨部门香蕉农场的证书垃圾才能启动并运行。谷歌是一个下载和点击。

现在我讨厌告诉你这个,但是你需要打破OSX中的证书引擎和Linux补丁,因为苹果根证书的唯一方法是建立金字塔数学来批准你的证书,如果你的mac在保修期内。

另外请记住,如果您在英国境内,参与计划的过时计划是非法的,例如苹果非法滥用数据证书作为黑名单技术。

祝好运!


0

永远不应该删除根证书。

并且您永远不应删除在到期日期之前已被标记为无效的根证书。

有一个原因,它被标记为无效。

主要是因为证书的颁发者将其标记为无效(这可能是因为他被黑客​​入侵或任何可能损害其根证书的行为)。

现在您/您的浏览器没有根证书,因此您/您的浏览器无法验证此Root信任的任何证书。

所以这取决于浏览器以及它如何处理它不知道的Root的证书。

如果浏览器行为正确,他将向您显示基于此Root的每个证书无效,但是一些浏览器(至少在过去)没有处理这个正确,并且会显示没有Root的证书,他们知道这些证书是有效的。


4
-1因为你所写的东西对我来说过于屈尊。这也不是问题的答案,该问题明确要求提出解决问题的建议。
Synoli 2017年

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.