Mac OS X Lion 10.7.2更新中断SSL

摘要

从10.7.1更新到10.7.2后，Safari和Google Chrome都无法加载GMail。到处都是旋转的沙滩球。

问题不是GMail；Firefox可以很好地加载GMail。

问题不仅限于Safari或Google Chrome；其他应用程序在SSL方面也存在问题：Gilgamesh和Safari。使用WebKit（Google Chrome，Safari）或Cocoa库（Gilgamesh）访问Internet的任何程序都无法加载安全站点。

各种在线论坛都提出了一些修复程序，但都无法解决。

分析

修复＃1：打开Keychain Access.app并删除未知证书。

10.7.2更新还阻止加载“钥匙串访问”。钥匙串程序本身就是Spinning Beachballs。

修复＃2：删除〜/ Library / Keychains / login.keychain和/Library/Keychains/System.keychain。

这可以暂时解决问题，并允许您加载安全站点，但是在重新启动或休眠后一两分钟以某种方式神奇地撤消了修复程序，因此您必须一遍又一遍地删除这些文件。

修复＃3：删除〜/ Library / Application \ Support / Mob *和/ Library / Application \ Support / Mob *。

有传言说新的MobileMe / iCloud服务ubd引起了问题。此修复程序不能解决问题。

修复＃4：打开“钥匙串访问”，打开“首选项”，然后禁用OCSP和CRL。

此修复程序不能解决问题。

修复＃5：使用10.7.0-> 10.7.2组合安装程序，而不是10.7.1-> 10.7.2安装程序。

当我运行组合安装程序时，它将永久停留在“ Validating Packages ...”屏幕中。组合安装程序本身已被窃听为He ||。

我强制退出安装程序，运行“ sudo killall已安装”以强制退出后台安装程序进程，然后重新运行组合安装程序。

同样的问题：它停在“ Validing Packages ...”上

概括

唯一有效的解决方法是删除钥匙串，但是每次重新启动或从休眠状态唤醒时，都必须这样做。有证据表明ubd会不断破坏钥匙串文件，但是建议的ubd修复建议删除〜/ Library / Application \ Support / Mob *和/ Library / Application \ Support / Mob *无法解决此问题。

显然，某件事不断地破坏了钥匙串。

还发布在Apple支持社区上。

我们的Mac支持人员已成功运行DiskWarrior来解决此问题。到目前为止，他的客户均未报告该问题再次出现。

更新：

我已经解决了。发生此问题是因为强制门户对所有内容都进行了答复。我调整了强制门户的DNS，以使OCSP和CRL网站的结果不佳。在这种情况下，我使用了127.0.0.1。现在，请求超时，而不是返回不正确的数据。它还可以通过更改“ / private / etc / hosts”并添加如下条目来在本地工作：

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

正确的条目可能取决于证书的CA。我在使用Wireshark观看连接时发现了这些地址。

我可能会补充说MobileMe现在是iCloud，因此该文件夹不是Application Support / Mobi *，而是Application Support / Ubiquity。

删除它，尽管结果好坏参半。它只工作1/3次。绝对有效的方法是删除：

〜/ Library / Keychains / login.keychain和/Library/Keychains/System.keychain

只需冲洗并重复。我不确定钥匙串访问何时会中断，但是在某个时候（通常对我来说大约3天）一切都停止工作。

Firefox似乎可以解决所有问题，如果您根本不想执行任何操作，则可以在Firefox中关闭OCSP（about：config），仅登录到您的无线门户，然后记住将其重新打开。不过，这无法修复Safari或Chrome（Opera是什么意思？）

但是最好的解决方案是恢复到10.7.1或10.7。我碰巧有较早版本的DMG文件，它是10.7.1。进行“重新安装”只会复制您的Lion系统文件，并使整个安装过程保持良好状态。因此，您实际上只是在重新安装操作系统，但保留所有应用程序和数据。到目前为止，这是完美的。请记住，如果要回滚，请不要将其更新为10.7.2。

关闭OCSP和CRL检查通常是个坏主意。实质上，您是说您不关心证书吊销。考虑到这些天证书颁发机构被黑客入侵的数量，这是不好的。这就是为什么Apple升级了其对强制门户的安全性的原因。问题出在强制门户连接本身。如果您选择一个，则无法检查CRL或OCSP，因为（duh！）您处于强制门户中。谁提供此门户，谁也必须在其防火墙上打洞，以允许您从强制门户中退出，以检查https强制门户页面提供给您的证书。在Lion无法取得进展之前，我们必须在企业无线系统上执行此操作。

经过数周对这个不断出现的问题感到沮丧（并等待苹果发布修复程序）后，我决定寻找可以从10.7.2更新中回滚的​​任何解决方案。不幸的是，我没有找到回滚到10.7.1或10.7.0的任何方法。

因此，我决定使用Lion Recovery，看看它如何影响局势。我按照此Apple支持文章中概述的步骤执行了恢复过程。

现在，我很高兴地通知您，问题已经（希望）消失了！出于某种原因，即使Lion Recovery进程将OS X重新安装回了10.7.2版本，但我在过去一周多的时间里都没有遇到钥匙串或SSL的任何问题。

我使用了在线恢复模式，似乎在恢复过程中下载的OS X版本确实具有某种不会破坏钥匙串的设置。Lion恢复过程非常顺畅，我不必重新安装任何应用程序或从备份中恢复文件（我仍然建议进行备份）。我的MacBook Pro是版本5,1。

对我来说，这是苹果安全更新首次严重破坏OSX。我仍然想知道为什么他们没有发布修复/更新来解决此问题。

（YMMV，但对我有用）-我停用了网络，重新启动以消除钥匙串问题，否则冻结了钥匙串访问，无需删除任何内容。然后，我停用了OCSP和CRL。我激活了网络……我连接到了自己的强制门户，然后重新激活了所有内容。

问题是强制门户网站需要证书，但会阻塞证书链。谢谢您提出的另一个建议。

以我的经验，这仅在连接到强制门户后面时才会发生。我认为原因是操作系统试图验证俘虏门户网站登录页面的证书，但是验证过程需要Internet访问。通过将强制门户网站页面的证书手动添加到钥匙串并将其标记为始终信任，我能够解决此问题。

您可以通过以下步骤导出证书：

1. 访问Firefox中的强制门户网站页面
2. 选择 Tools > Page Info > Security > View Certificate > Details > Export
3. 使用扩展名“ .crt”将证书保存到硬盘中

您可以通过以下步骤导入证书：

1. 打开 Keychain Access.app
2. 将证书从Finder拖到钥匙串中
3. 双击证书，然后展开“信任”部分
4. 选择“使用此证书时：Always Trust”
5. 关闭弹出窗口

如果由于钥匙串损坏而无法打开“钥匙串访问”，请关闭无线功能，然后删除~/Library/Keychains/login.keychain和/Library/Keychains/System.keychain，然后重新启动。

我发现了问题。这是由10.7.2（安全强制门户网站劫持）中的安全修复程序引起的。您所连接的网络之一可能有一个门户网站，您可以在其中输入登录数据...对我来说，这是WiFi网络。

要暂时解决此问题，请停用所有网络，重新启动，启动钥匙串，转到首选项，证书，然后关闭OCSP和CRL。重新启动，激活网络，然后就可以开始...

我成功完成了上述的“ fix＃2”。

在终端：

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

然后重新启动。

https://discussions.apple.com/thread/3430739?start=0&tstart=0末尾的建议似乎表明以下过程解决了该问题：http : //www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html