Comment savoir pourquoi macOS pense qu'un certificat est révoqué?

42

Je ne peux pas accéder à Wikipedia sur mes deux Mac. macOS indique que le certificat intermédiaire utilisé pour signer le certificat de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2) a été révoqué.

entrez la description de l'image ici

Je ne crois pas que le certificat en question a été révoqué. J'ai donc vérifié manuellement les services CRL et OCSP de GlobalSign et les deux me disent que le certificat est correct.

Existe-t-il d'autres sources de liste de révocation de certificats que macOS peut potentiellement utiliser? Existe-t-il un moyen de demander à Security Framework de me dire ce qui ne va pas avec le certificat à son avis?

kirelagin
la source
voir aussi cela pour wikipedia / maxcdn / ...
Somatik
1
J'ai également rencontré ce problème sur mon Mac (Sierra) lors de la visite de Wikipedia. Cela fonctionne sur mon appareil iOS si
Panda
1
Wikipédia déploie actuellement sur tous ses sites un nouveau certificat non affecté par les problèmes: phabricator.wikimedia.org/T148045
mardi
3
Aucune des réponses ci-dessous n'essaye même de répondre à la question. Tous tentent de trouver une
solution de rechange
1
@klanomath Je dirais ceci: tout le monde essaie d'éliminer les conséquences en connaissant la cause initiale, tandis que la question est de savoir comment diagnostiquer le problème.
Kirelagin

Réponses:

40

J'ai essayé crlrefresh rpet aussi supprimer manuellement le cache OCSP avec sudo rm /var/db/crls/*cache.dbcomme documenté par GlobalSign .

Toutefois, la mémoire cache semble se trouver à un emplacement différent sur macOS 10.12 Sierra. La commande suivante a fonctionné pour moi et a résolu le problème:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

J'ai aussi essayé de supprimer toute la base de données, mais elle ne semble pas revenir automatiquement.

En cas de doute, il est préférable de simplement restaurer ~/Library/Keychains/*/ocspcache.sqlite3*(y compris -shmet -wal) une sauvegarde avant que les serveurs OCSP ne commencent à donner des réponses erronées, par exemple d'hier.

raimue
la source
3
J'utilise macOS Sierra et cette commande sqlite a corrigé le problème pour moi aussi. Je n'ai pas eu besoin de me déconnecter ni même de quitter le navigateur. J'ai d'abord fait une copie de sauvegarde de ocspcache.sqlite3.
Dan Reese
1
Cela corrigeait le problème de Wikipedia sur Safari, mais Chrome me bloque toujours.
benr
Le problème semble revenir occasionnellement, mais la réexécution de cette commande le corrige à nouveau.
Dan Reese
Wow, et par "occasionnellement", je veux dire à peu près toutes les quelques minutes. Peut-être que ce n'est pas une vraie solution après tout.
Dan Reese
1
Cela fonctionne pour moi sur Safari et aussi sur Chrome. Chrome avait besoin d'un redémarrage du navigateur.
mardi
19

Peut-être que GlobalSign semble avoir un problème avec leur OCSP. Ceci est tiré de leur twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Nous rencontrons actuellement des problèmes avec notre OCSP qui provoquent des messages d'avertissement de certificat. Nous visons à résoudre ce problème dès que possible.

Et aussi

UPDATE: Si vous êtes un utilisateur MAC, veuillez vider votre cache avec crlrefresh rp

ou afficher et / ou supprimer une liste de révocation de certificats, cache OCSP

Michael Hansen
la source
1
En fait, j'ai déjà essayé crlrefresh rpet cela ne semble pas aider. Quoi qu’il en soit, ce que je recherche, c’est un moyen de convaincre macOS de me dire exactement pourquoi il pense que le certificat est mauvais (qu’il s’agisse d’OCSP ou autre chose).
Kirelagin
L'impact dépendra probablement de la résolution des problèmes en amont.
Andre M
Le nettoyage des caches n'a pas résolu le problème pour moi, mais au moins, j'ai une attribution pour le problème.
Jordan Thomas
Il y a maintenant un communiqué de presse du genre: globalsign.com/fr/customer-revocation-error
Petr Hudeček
0

J'ai essayé les instructions fournies par Global Sign, mais cela ne m'a pas vraiment aidé.

sudo rm /var/db/crls/*cache.dbN'a pas vraiment aidé parce qu'il y a un autre fichier cache crlcache2.dbqui ne correspond pas aux *cache.dbcritères.

Ma solution consistait également à supprimer ce fichier, puis à redémarrer.

sudo rm /var/db/crls/crlcache2.db

Je pense que c'est sans danger sudo rm /var/db/crls/*parce que le dossier ne contient que des fichiers en cache. Mais si vous choisissez de le faire, faites-le à vos risques et périls.

DawTaylor
la source
-3

L'autre option est d'aller sur un site que vous n'utilisez jamais qui utilise globalsign, par exemple (pour tous les anglophones) https://it.wikipedia.org (wikipedia en italien) et lorsqu'il apparaît en disant qu'un certificat invalide fait explicitement confiance à globalsign. certificat jusqu'à ce que ce CF soit corrigé correctement

Simon
la source
3
C'est une mauvaise idée, OMI. Je prends toujours les avertissements de certificat très au sérieux et je ne continue pas. Que se passe-t-il si OP était en train de subir un MITM et si ils venaient de cliquer aveuglément sur cet avertissement?
grooveplex
1
S'il vous plaît ne faites pas ça. Si ce certificat est jamais révoqué pour des raisons importantes, votre système ignorera cette révocation jusqu'à ce que vous supprimiez l'approbation explicite. Le vidage de votre cache OCSP est un moyen beaucoup plus efficace et sûr de résoudre ce problème.
Joshperry