Problem, który zidentyfikowaliśmy tutaj na naszej uczelni, dotyczy poprawek bezpieczeństwa dodanych przez Apple w wersji 10.7.2, aby zapobiec luce w zabezpieczeniach.
Po podłączeniu do sieci Wi-Fi urządzenie próbuje skontaktować się z http://www.apple.com/library/test/success.html, aby ustalić, czy istnieje przeszkodowy portal. Jeśli nie uda mu się odzyskać „Sukcesu”, uważa, że został przechwycony. Możesz przeczytać o tym procesie szczegółowo, jeśli chcesz, ale nie ma to znaczenia. Wyskakujące okienko wykorzystuje koncepcję o nazwie WISPr.
Odkryto, że istnieją sposoby przeprowadzenia ataku na systemy w ten sposób, który zmusił użytkowników do myślenia, że akceptują instalację / pobieranie oprogramowania od Apple. Więc teraz, zanim pojawi się to okienko wyskakujące, system próbuje sprawdzić odwołania certyfikatów, aby sprawdzić, czy wyświetlane okienko nie jest fałszywe.
Problem polega na tym, że nie wszystkie systemy portalowe zezwalają na połączenie z hostami, do których musi się dostać komputer w celu przeprowadzenia weryfikacji. Jeśli przejmie ich zwroty DNS, otrzymasz niekończącą się awarię.
Istnieją cztery możliwe sposoby radzenia sobie z tym.
Jeden wymaga od ludzi w niewoli portalu poradzenia sobie z tym (lub rozbicia ich rzeczy, w zależności od twojej perspektywy) poprzez otwarcie przechwytywania, aby Lion mógł porozmawiać z niezbędnymi serwerami:
crl.usertrust.com ocsp.usertrust.com crl.incommon.org ocsp.incommon.org
Druga opcja wydaje mi się okropna: wyłącz OCSP i CRL. Nie rób tego Nie pomogę ci tego zrobić. To przepis na to, by nigdy nie odwoływać uszkodzonych lub naruszonych certyfikatów.
Trzecią opcją jest modyfikacja własnego komputera, aby próby połączenia się z powyższymi serwerami po prostu kończyły się niepowodzeniem, a nie przechwytywaniem przez portal przechwytujący. Rozwiązanie, które przeczytałem, sugeruje aktualizację pliku hosts, aby przekierować powyższe hosty do 127.0.0.1 Ponieważ prawdopodobnie nie prowadzisz urzędu certyfikacji, pozwoli to na szybkie wykasowanie błędu. Wydaje się jednak, że może to być ten sam skuteczny wynik, co wyłączenie OCSP. Odradzam to.
Czwarta opcja jest najbardziej konkretna i to, co zrobiłem. Dodałem certyfikat do specjalnego portalu dla niewoli mojej organizacji i powiedziałem, aby zawsze mu ufał. Rozwiązanie zostało określone tutaj i nie stworzyłem go, ale tutaj zostało ono odtworzone dla kompletności:
Wyeksportuj certyfikat SSL portalu dla niewoli, wykonując następujące czynności:
Odwiedź stronę portalu dla niewoli w przeglądarce Firefox Wybierz Narzędzia> Informacje o stronie> Bezpieczeństwo> Wyświetl certyfikat> Szczegóły> Eksportuj Zapisz certyfikat na dysku twardym z rozszerzeniem „.crt”. Możesz zaimportować certyfikat, wykonując następujące czynności:
Otwórz Keychain Access.app Przeciągnij certyfikat z Findera do pęku kluczy Kliknij dwukrotnie certyfikat i rozwiń sekcję „Zaufanie” Wybierz „Podczas korzystania z tego certyfikatu: Zawsze ufaj” Zamknij wyskakujące okno.
Niektórzy ludzie zgłosili uszkodzone pęki kluczy z tego problemu; Nie miałem tego problemu, ale jeśli nie możesz otworzyć Keychain Access, ponieważ Twój pęku kluczy jest uszkodzony, wyłącz sieć bezprzewodową, usuń ~ / Library / Keychains / login.keychain i /Library/Keychains/System.keychain, a następnie uruchom ponownie.