Je ne peux pas accéder à Wikipedia sur mes deux Mac. macOS indique que le certificat intermédiaire utilisé pour signer le certificat de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2
) a été révoqué.
Je ne crois pas que le certificat en question a été révoqué. J'ai donc vérifié manuellement les services CRL et OCSP de GlobalSign et les deux me disent que le certificat est correct.
Existe-t-il d'autres sources de liste de révocation de certificats que macOS peut potentiellement utiliser? Existe-t-il un moyen de demander à Security Framework de me dire ce qui ne va pas avec le certificat à son avis?
security
keychain
sierra
certificate
kirelagin
la source
la source
Réponses:
J'ai essayé
crlrefresh rp
et aussi supprimer manuellement le cache OCSP avecsudo rm /var/db/crls/*cache.db
comme documenté par GlobalSign .Toutefois, la mémoire cache semble se trouver à un emplacement différent sur macOS 10.12 Sierra. La commande suivante a fonctionné pour moi et a résolu le problème:
J'ai aussi essayé de supprimer toute la base de données, mais elle ne semble pas revenir automatiquement.
En cas de doute, il est préférable de simplement restaurer
~/Library/Keychains/*/ocspcache.sqlite3*
(y compris-shm
et-wal
) une sauvegarde avant que les serveurs OCSP ne commencent à donner des réponses erronées, par exemple d'hier.la source
Peut-être que GlobalSign semble avoir un problème avec leur OCSP. Ceci est tiré de leur twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
Et aussi
ou afficher et / ou supprimer une liste de révocation de certificats, cache OCSP
la source
crlrefresh rp
et cela ne semble pas aider. Quoi qu’il en soit, ce que je recherche, c’est un moyen de convaincre macOS de me dire exactement pourquoi il pense que le certificat est mauvais (qu’il s’agisse d’OCSP ou autre chose).J'ai essayé les instructions fournies par Global Sign, mais cela ne m'a pas vraiment aidé.
sudo rm /var/db/crls/*cache.db
N'a pas vraiment aidé parce qu'il y a un autre fichier cachecrlcache2.db
qui ne correspond pas aux*cache.db
critères.Ma solution consistait également à supprimer ce fichier, puis à redémarrer.
sudo rm /var/db/crls/crlcache2.db
Je pense que c'est sans danger
sudo rm /var/db/crls/*
parce que le dossier ne contient que des fichiers en cache. Mais si vous choisissez de le faire, faites-le à vos risques et périls.la source
MacOS pense que le certificat a été révoqué car un certificat intermédiaire de sa chaîne de confiance a été révoqué (par inadvertance). Voir GlobalSign, une erreur, annule les certificats HTTPS des sites Web les plus populaires .
Le message d'erreur que vous voyez vous indique exactement quel certificat intermédiaire a été révoqué. Que voudriez-vous savoir de plus?
la source
L'autre option est d'aller sur un site que vous n'utilisez jamais qui utilise globalsign, par exemple (pour tous les anglophones) https://it.wikipedia.org (wikipedia en italien) et lorsqu'il apparaît en disant qu'un certificat invalide fait explicitement confiance à globalsign. certificat jusqu'à ce que ce CF soit corrigé correctement
la source