Jak stwierdzić, dlaczego system macOS uważa, że ​​certyfikat został odwołany?

Nie mogę uzyskać dostępu do Wikipedii na obu komputerach Mac. macOS twierdzi, że certyfikat pośredni użyty do podpisania certyfikatu Wikipedii ( GlobalSign Organization Validation CA - SHA256 - G2) został unieważniony.

Nie sądzę, aby ten certyfikat został unieważniony, więc ręcznie sprawdziłem usługę CRL i OCSP GlobalSign i obaj powiedzieli mi, że certyfikat jest OK.

Czy istnieją inne źródła list CRL, z których potencjalnie może korzystać macOS? Czy istnieje sposób, aby poprosić Security Framework o powiedzenie mi, co dokładnie jest nie tak z certyfikatem w jego opinii?

Próbowałem crlrefresh rpi ręcznie usunąłem pamięć podręczną OCSP sudo rm /var/db/crls/*cache.dbzgodnie z dokumentacją GlobalSign .

Wygląda jednak na to, że pamięć podręczna znajduje się w innym miejscu w systemie macOS 10.12 Sierra. Następujące polecenie działało dla mnie i rozwiązało problem:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Próbowałem również usunąć całą bazę danych, ale wydaje się, że nie wraca automatycznie.

Jeśli nie masz pewności, lepiej po prostu przywróć kopię zapasową ~/Library/Keychains/*/ocspcache.sqlite3*(w tym -shmi -wal), zanim serwery OCSP zaczną udzielić błędnych odpowiedzi, na przykład od wczoraj.

Może tak być, wygląda na to, że GlobalSign ma problem z OCSP. To pochodzi z ich Twittera ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Obecnie występują problemy z naszym OCSP, które powodują komunikaty ostrzegawcze certyfikatów. Staramy się to naprawić jak najszybciej.

I również

AKTUALIZACJA: Jeśli jesteś użytkownikiem MAC, wyczyść pamięć podręczną za pomocą crlrefresh rp

lub Wyświetl i / lub Usuń CRL, pamięć podręczną OCSP

Próbowałem instrukcji dostarczonych przez Global Sign, ale tak naprawdę mi to nie pomogło.

sudo rm /var/db/crls/*cache.dbW rzeczywistości nie pomogło, ponieważ istnieje inny plik pamięci podręcznej, crlcache2.dbktóry nie spełnia *cache.dbkryteriów.

Moim rozwiązaniem było również usunięcie tego pliku, a następnie ponowne uruchomienie.

sudo rm /var/db/crls/crlcache2.db

Myślę, że jest to bezpieczne, sudo rm /var/db/crls/*ponieważ folder zawiera tylko pliki pamięci podręcznej. Ale jeśli zdecydujesz się to zrobić, zrób to na własne ryzyko.

MacOS uważa, że ​​certyfikat został odwołany, ponieważ certyfikat pośredni w jego łańcuchu zaufania został (przypadkowo) odwołany. Zobacz śruba GlobalSign anuluje certyfikaty HTTPS najlepszych stron internetowych .

Wyświetlany komunikat o błędzie mówi dokładnie, który certyfikat pośredni został odwołany. Co więcej chciałbyś wiedzieć?

Inną opcją jest przejście do witryny, z której nigdy nie korzystasz i która korzysta z globalsign, na przykład (dla każdego anglojęzycznego) https://it.wikipedia.org (włoska wikipedia), a kiedy pojawia się informacja o nieprawidłowym certyfikacie, wyraźnie zaufaj globalsign certyfikat, aż ten CF zostanie poprawnie naprawiony