Dlaczego OS X nie ufa certyfikatowi SSL GitHub?


68

Gdy przechodzę do dowolnej strony github.com w Chrome, pojawia się duży brzydki błąd:

Podjęto próbę uzyskania dostępu do witryny github.com, ale serwer przedstawił certyfikat wystawiony przez podmiot, któremu system operacyjny komputera nie ufa. Może to oznaczać, że serwer wygenerował własne poświadczenia bezpieczeństwa, których Chrome nie może polegać na informacjach dotyczących tożsamości, lub atakujący może próbować przechwycić Twoją komunikację.

Nie możesz kontynuować, ponieważ operator witryny zażądał podwyższonych zabezpieczeń dla tej domeny.

To samo dzieje się (w Chrome i zwijaniem), gdy idę do https://www.digicert.com/ . Ten dziwny problem zaczął się około półtora tygodnia temu.

Oto, co widzę po kliknięciu ikony zepsutej kłódki na pasku adresu:

GitHub.com jest zepsuty Informacje o certyfikacie GitHub.com

Ale gist.github.com działa dobrze:

Gist.GitHub.com działa Informacje o certyfikacie Gist.GitHub.com

Nie działa również z zawijaniem:

To nie działa z zawijaniem

Wszystko działa dobrze w przeglądarce Firefox.

Jak mogę rozwiązać problem z moim głównym urzędem certyfikacji?

Oto jak to wygląda w przeglądarce Firefox:

wprowadź opis zdjęcia tutaj wprowadź opis zdjęcia tutaj

Aktualizacja:

Zauważyłem, że pierwszy certyfikat w łańcuchu różni się w moim zepsutym Chrome / Safari w porównaniu z Chrome na moim drugim komputerze.

wprowadź opis zdjęcia tutaj wprowadź opis zdjęcia tutaj

(Nie ma już nieprzyjemnego czerwonego X, ponieważ zaufałem mu w Safari.) Widzisz, czym różnią się emitenci? Co mogę z tego zrobić?


Istnieje różnica między * .github.com a github.com, jakiej przeglądarki używasz?
Ramhound

Chrom. W Chrome jest zepsuty, ale działa w przeglądarce Firefox. To nie działa z zawijaniem.
Trevor Dixon

Czy możesz opublikować informacje o Firefox, które pokazują, że certyfikat nie zawiera błędów?
Ramhound

Dodano zdjęcia Firefox na dole.
Trevor Dixon,

Ten sam problem z samym digicert.com .
Trevor Dixon

Odpowiedzi:


42

to działało dla mnie:

Keychain.app > Preferences > General > Reset My Default Keychain

AKTUALIZACJA

Mniej drastyczną opcją jest usunięcie certyfikatu DigiCert z pęku kluczy logowania : w każdym razie powinieneś już mieć go w głównym pęku kluczy. Ten błąd pojawia się, gdy dwa się nie zgadzają.


2
Wydaje się drastyczne ...
JLundell

3
Wydaje mi się, że usunięcie certyfikatu w pęku kluczy logowania może również działać. Jeśli dobrze zrozumiałem, DigiCert i tak znajduje się w pęku kluczy root. Warto spróbować przed zresetowaniem. (Oczywiście tworzenie kopii zapasowych itp.)
evacchi

Tak, to działało dla mnie. Zagadka, dlaczego znajduje się w pęku kluczy logowania. Podczas badania dwie wersje nie są identyczne; ciekawe, skąd pochodzi wersja logowania.
JLundell

dobrze wiedzieć, zaktualizuję odpowiedź.
evacchi

3
Nawiasem mówiąc: podobne problemy mogą być spowodowane utratą ważności certyfikatu głównego w pęku kluczy logowania, który zastępuje zaktualizowane certyfikaty z katalogu głównego systemu. Aby je wyświetlić, włącz „Pokaż wygasłe certyfikaty” w menu „Widok”.
Arjan

79

Pojawił się nowy problem od 26 lipca 2014 r., Kiedy wygasł stary, najwyraźniej quasi-szeroki certyfikat spreadu.

Na podstawie https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Instrukcje usuwania wygasłego certyfikatu SSL DigiCert w OSX

 
  1. Uruchamianie dostępu do pęku kluczy przez Spotlight
    • ⌘-Space
    • Wpisz „Dostęp do pęku kluczy”
    • Hit return
  2. Upewnij się, że wygasły certyfikaty są wyświetlane; włącz opcję „Pokaż wygasłe certyfikaty” w menu „Widok”.
  3. Wyszukaj „Digicert”.
  4. Kliknij prawym przyciskiem myszy certyfikat z czerwonym X i wybierz „Usuń DigiCert High Assurance EV Root CA”
  5. Certyfikat może wyglądać na usunięty dopiero po ponownym uruchomieniu dostępu do pęku kluczy
  6. Uruchom ponownie przeglądarki
Powinieneś ponownie mieć dostęp do stron, których dotyczy problem.

 


2
Usunięcie certyfikatu nie pomogło, uruchomiłem ponownie komputer. Problem nadal występuje. Dowolny pomysł?
Aviel

9
Ok, prawdopodobnie usunąłem zbyt wiele certyfikatów digi, poszedłem tutaj digicert.com/digicert-root-certificates.htm i pobrałem certyfikat „DigiCert High Assurance EV Root CA”.
Aviel

1
@Aviel Dzięki, pobranie i ponowna instalacja tego certyfikatu zrobiła to dla mnie.
Tim Scott

1
Dla mnie to zadziałało, a także rozwiązało podobny problem z safari (jak można się spodziewać). Musiałem jednak zrestartować Chrome.
biggusjimmus

Wspaniały! To zadziałało dla mnie. Dzięki @Allen Hancock :)
Mark Robson


1

Właśnie wypróbowałem rozwiązanie Johna i to nie pomogło. Chociaż w moim przypadku nie znalazłem żadnej z ikon „niebieskich +” w Klasie.
Więc wszystko, co zrobiłem, to usunięcie dwóch sugerowanych plików pamięci podręcznej i ponowne uruchomienie.
W moim przypadku próbuję zaktualizować aplikację w Macports, która używa git do łączenia się z github w celu pobrania źródła i powoduje błąd. I widzę błąd w przeglądarce Safari, ale nie w przeglądarce Firefox.

Po powyższym skontaktowałem się z DigiCert i byli bardzo pomocni w rozwiązaniu problemu. W Keychain Access-> System Roots Kategoria: Certyfikaty

DigiCert High Assurance EV Root CA-> Zaufanie-> Zmiana SSL z: brak określonej wartości na: Zawsze ufaj Globalny katalog główny GTE CyberTrust-> Zaufanie-> Zmiana SSL z: brak określonej wartości na: Zawsze ufaj


1

Dla mnie problem został rozwiązany przez uruchomienie narzędzia Dostęp do pęku kluczy, wybranie Pierwszej pomocy pęku kluczy z menu Dostęp do pęku kluczy i wybranie Napraw.


Kliknięcie opcji naprawy usunęło wszystkie moje certyfikaty, więc może to być produkt uboczny.
Szary

0

Miałem problem z różnymi certyfikatami SSL jakiś czas temu, okazało się, że działa to w 90% z tych problemów.

Usuń pliki /var/db/crls/crlcache.db i /var/db/crls/ocspcache.db. Można je znaleźć za pomocą Findera Go>; Przejdź do menu Folder (Cmd + Shift + G). Spowoduje to zresetowanie pamięci podręcznej zaakceptowanych certyfikatów w systemie. Nie usuwa ich, po prostu zmusza system do odbudowania pamięci podręcznej po ponownym uruchomieniu.

Otwórz dostęp do pęku kluczy (/ Aplikacje / Narzędzia / Dostęp do pęku kluczy). Wybierz Certyfikaty w selektorze kategorii po lewej stronie. W pasku wyszukiwania wpisz słowo Klasa. Przejrzyj tę listę i znajdź wszystkie certyfikaty, które mają niebieski symbol + nad ikoną. To są te, które musisz zmodyfikować.

Wybierz niebieski + i naciśnij Command + I. Kliknij trójkąt ujawnienia obok listy „Zaufanie”, aby wyświetlić listę uprawnień. Teraz musimy ustawić ten certyfikat, aby używał domyślnych ustawień systemu. Jednak z jakiegoś powodu po wybraniu nie jest zapisywane. Musisz więc to zrobić. W obszarze „Zaufanie”, gdzie jest napisane „Secure Sockets Layer (SSL)”, zmień menu rozwijane na „Nie określono wartości”. Następnie zamknij okno. Poprosi o uprawnienia administratora. Następnie ponownie otwórz okienko informacyjne dla tego certyfikatu. W sekcji „Zaufanie” ponownie ustaw teraz menu „Podczas korzystania z tego certyfikatu:”, aby powiedzieć „Użyj ustawień domyślnych systemu”. Następnie możesz zamknąć okienko informacyjne i wprowadzić ponownie hasło. Zrób to dla każdego certyfikatu, który ma niebieską + ikonę. Może być tylko jeden lub dwa.

Uruchom ponownie system.

Daj mi znać, jeśli to zadziała, byłbym ciekawy, czy to zadziała.

Ponieważ ZAWSZE masz kopie zapasowe za pomocą Wehikułu Czasu, bo jeśli będzie gorzej, przynajmniej możesz wrócić!


0

Dla tych, którzy usunęli wygasły certyfikat, ale nadal mają problem. Uruchom dostęp do pęku kluczy, przejdź do odpowiedniej pozycji menu, wybierz „pierwsza pomoc pęku kluczy”, uruchom czek, uruchom naprawę, a następnie ponownie uruchom czek, aby się upewnić. Problem powinien zniknąć.


Wydaje się, że jest to to samo, co odpowiedź Keitha Bennetta z 6 lipca.
Scott


0

Postępowałem zgodnie z wskazówkami Allena, ale to nie działało dla mnie. Więc próbuję tego. Wygląda na to, że to działa.

  1. Postępuj zgodnie z instrukcjami Allena.
  2. Otwórz witrynę, której dotyczy problem, w przeglądarce Safari (np. Github.com).
  3. Otrzymasz to ostrzeżenie. Kliknij „Pokaż certyfikat”. wprowadź opis zdjęcia tutaj
  4. W menu „Podczas korzystania z tego certyfikatu:” wybierz „Zawsze ufaj”. Wszystkie 2 poniższe listy rozwijane będą zgodne z tą samą regułą, którą tutaj wybrałeś. wprowadź opis zdjęcia tutaj
  5. Otwórz Chrome, spróbuj uzyskać dostęp do witryny, której dotyczy problem (np. Github.com).

Próbowałem tego. Facebook ładuje się normalnie. Ale github załadowany bez CSS. Dostaję szkieletowy github. Nie wiem, dlaczego tak się dzieje. Ale połączenie zostało już ustanowione i jest w porządku.

Jakiś pomysł chłopaki?


0

Po spędzeniu wielu godzin na próbach naprawienia tego pobrałem - Link ;

  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA
  • DigiCert Assurance ID Root CA

Nie mam pojęcia, czy ta dobra praktyka jest dla mnie skuteczna. Używam OSX 10.9.5 i Chrome 42.0.2311.152 (64-bit)


0

Pracuj dla mnie w MAC 10.10.3 1) Otwórz dostęp do pęku kluczy 2) Wyszukaj DigiCert High Assurance EV Root CA 3) Kliknij dwukrotnie DigiCert High Assurance EV Root CA 4) W systemie Windows DigiCert High Assurance EV Root CA wybierz TRUST 5) zmień z rozwijanym menu menu włączone przy korzystaniu z tego certyfikatu ZAWSZE ZAUFANIE


0

Znaleziono poniżej online. Byłem pewien, że to był jakiś knebel, w jaki sposób oszukałeś kogoś, naciskając klawisze ALT + F4 w systemie Windows, ale zadziałało to dla mnie i współpracownika:

  1. Kliknij dowolne miejsce w dotkniętej ramce Chrome
  2. Na klawiaturze wpisz: niebezpieczeństwo

To wszystko, strona się ładuje. CSS nie ładuje się, więc po prostu „Wyświetl źródło”, kliknij plik css, a zobaczysz komunikat o błędzie ponownie. Powtórz powyższe kroki, a wyświetli się CSS. Następnie odśwież stronę Github i wszystko będzie dobrze.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.