Pourquoi OS X ne fait-il pas confiance au certificat SSL de GitHub?

68

Lorsque je vais sur une page de github.com dans Chrome, je reçois une grosse erreur laide:

Vous avez tenté d’atteindre github.com, mais le serveur a présenté un certificat émis par une entité qui n’est pas approuvée par le système d’exploitation de votre ordinateur. Cela peut signifier que le serveur a généré ses propres informations d'identification de sécurité, sur lesquelles Chrome ne peut pas compter pour obtenir des informations d'identité, ou un attaquant peut tenter d'intercepter vos communications.

Vous ne pouvez pas poursuivre car l'exploitant du site Web a demandé une sécurité renforcée pour ce domaine.

La même chose se produit (dans Chrome et avec curl) quand je vais aussi à https://www.digicert.com/ . Cet étrange problème a commencé il y a environ une semaine et demie.

Voici ce que je vois lorsque je clique sur l'icône du verrou brisé dans la barre d'adresse:

GitHub.com est cassé Informations sur le certificat GitHub.com

Mais gist.github.com fonctionne très bien:

Gist.GitHub.com fonctionne Informations sur le certificat Gist.GitHub.com

Cela ne marche pas avec curl non plus:

Ça ne marche pas avec curl

Tout fonctionne bien dans Firefox.

Comment puis-je résoudre mon problème de CA racine?

Voici à quoi cela ressemble dans Firefox:

entrez la description de l'image ici entrez la description de l'image ici

Mise à jour:

J'ai remarqué que le premier certificat de la chaîne est différent dans mon Chrome / Safari endommagé par rapport à Chrome sur mon autre ordinateur.

entrez la description de l'image ici entrez la description de l'image ici

(Il n'y a plus de mauvais X rouge parce que je l'avais fait confiance dans Safari.) Voyez-vous en quoi les émetteurs sont différents? Que puis-je faire de ça?

Trevor Dixon
la source
Il y a une différence entre * .github.com et github.com quel navigateur utilisez-vous?
Ramhound
Chrome. Il est cassé dans Chrome, mais cela fonctionne dans Firefox. Ça ne marche pas avec curl.
Trevor Dixon
Pouvez-vous publier les informations de Firefox indiquant que le certificat ne contient aucune erreur?
Ramhound
Ajout de photos Firefox en bas.
Trevor Dixon
Même problème avec digicert.com lui-même.
Trevor Dixon

Réponses:

42

cela a fonctionné pour moi:

Keychain.app > Preferences > General > Reset My Default Keychain

MISE À JOUR

Une option moins radicale consiste à supprimer le certificat DigiCert du trousseau de connexion : vous devriez déjà en avoir déjà un dans le trousseau racine. Cette erreur semble se produire lorsque les deux ne correspondent pas.

evacchi
la source
2
Cela
3
Je pense que la suppression du certificat dans le login Keychain pourrait également fonctionner. Si j'ai bien compris, DigiCert est quand même dans le trousseau racine. La peine d'essayer avant de réinitialiser. (Evidemment sauvegarde etc etc)
evacchi
Oui, cela a fonctionné pour moi. Puzzle pourquoi il est dans le trousseau de connexion. A l'examen, les deux versions ne sont pas identiques; curieux de savoir d'où vient la version de connexion.
JLundell
bon à savoir, je mettrai à jour la réponse.
evacchi
3
En passant, des problèmes similaires pourraient être causés par le fait d'avoir un certificat racine expiré dans son trousseau de connexion, qui remplace les certificats mis à jour à partir des racines système. Pour les afficher, activez "Afficher les certificats expirés" dans le menu "Affichage".
Arjan
79

Il y a un nouveau problème en date du 26 juillet 2014 avec l'expiration d'un ancien certificat apparemment largement répandu.

Basé sur https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Instructions pour effacer le certificat SSL DigiCert expiré sur OSX

 
  1. Lancement de l’accès au trousseau via Spotlight
    • Space-Space
    • Tapez "Accès au trousseau"
    • Hit retour
  2. Assurez-vous que les certificats expirés sont affichés; activez "Afficher les certificats expirés" dans le menu "Affichage".
  3. Recherchez "Digicert".
  4. Cliquez avec le bouton droit sur le certificat avec un X rouge et sélectionnez "Supprimer l'autorité de certification racine DigiCert High Assurance EV".
  5. Le certificat peut ne pas sembler supprimé jusqu'au redémarrage de l'accès au trousseau
  6. Redémarrez vos navigateurs
Vous devriez à nouveau pouvoir accéder aux sites affectés.

 

Allen Hancock
la source
2
Supprimer le certificat n'a pas aidé, j'ai redémarré mon ordinateur. Le problème persiste. Une idée?
Aviel
9
D'accord, je supprime probablement trop de certificats digi. Je suis allé à digicert.com/digicert-root-certificates.htm et j'ai téléchargé le certificat "DigiCert High Assurance EV Root CA".
Aviel
1
@Aviel Merci, le téléchargement et la réinstallation de ce certificat l'ont fait pour moi.
Tim Scott
1
Cela a fonctionné comme un charme pour moi, et a également résolu le même problème avec Safari (comme on peut s'y attendre). J'ai eu besoin de redémarrer Chrome cependant.
biggusjimmus
Génial! Cela a fonctionné pour moi. Merci @ Allen Hancock :)
Mark Robson
1

J'ai juste essayé la solution de John, et ça n'a pas aidé. Bien que dans mon cas, je n'ai trouvé aucune des icônes "bleu +" dans Class.
Donc, tout ce que j'ai fait était de supprimer les deux fichiers de cache suggérés et de redémarrer.
Dans mon cas, j'essaye de mettre à jour une application sous Macports, qui utilise git pour se connecter à github afin de télécharger le code source, ce qui donne l'erreur. Et, je vois l'erreur dans Safari, mais pas dans Firefox.

Après ce qui précède, je suis entré en contact avec DigiCert, qui a beaucoup aidé à le résoudre. Dans Keychain Access-> System Roots Catégorie: Certificats

DigiCert High Assurance EV racine CA-> Confiance-> SSL modification de: aucune valeur spécifiée à: Toujours faire confiance à GTE CyberTrust Global Racine-> Confiance-> SSL modification de: aucune valeur spécifiée à: Toujours faire confiance

utilisateur2965673
la source
1

Pour moi, le problème a été résolu en démarrant l'utilitaire Keychain Access, en sélectionnant Keychain First Aid dans le menu Keychain Access, puis en sélectionnant Réparer.

Keith Bennett
la source
Cliquer sur réparation semble avoir effacé tous mes certificats, donc ce pourrait être un sous-produit.
Gris
0

Vous avez eu un problème avec divers certificats SSL il y a quelque temps, cela a fonctionné pour 90% de ces problèmes.

Supprimez les fichiers /var/db/crls/crlcache.db et /var/db/crls/ocspcache.db. Ceux-ci peuvent être trouvés en utilisant Finder Go>; Aller au menu Dossier (Cmd + Maj + G). Cela réinitialise le cache des certificats acceptés dans le système. Cela ne les supprime pas, il oblige simplement le système à reconstruire les caches au redémarrage.

Ouvrir l’accès au trousseau (/ Applications / Utilitaires / Accès au trousseau). Sélectionnez Certificats dans le sélecteur de catégorie sur le côté gauche. Dans la barre de recherche, tapez le mot Classe. Parcourez cette liste et recherchez tous les certificats comportant un symbole bleu + sur leur icône. Ce sont ceux que vous devez modifier.

Sélectionnez celui qui a un + en bleu, puis appuyez sur Commande + I. Cliquez sur le triangle d'affichage à côté de la liste "Confiance" pour afficher la liste des autorisations. Maintenant, ce que nous devons faire, c'est configurer ce certificat pour qu'il utilise les paramètres par défaut du système. Cependant, pour une raison quelconque, lorsque vous le sélectionnez, il ne sauvegarde pas. Voici ce que vous devez faire. Sous «Trust», où il est écrit «Secure Sockets Layer (SSL)», modifiez le menu déroulant pour indiquer «Aucune valeur spécifiée». Puis fermez la fenêtre. Il vous demandera vos autorisations d'administrateur. Ensuite, ouvrez à nouveau le volet d'informations pour ce certificat. Sous "Confiance" à nouveau, définissez maintenant le menu déroulant qui dit "Lors de l'utilisation de ce certificat:" pour dire "Utiliser les paramètres par défaut du système". Vous pouvez ensuite fermer le volet d'informations et ressaisir votre mot de passe. Faites cela pour tous les certificats qui ont un bleu + sur leur icône. Il ne devrait y en avoir qu'un ou deux au plus.

Redémarrez votre système.

Faites-moi savoir si cela fonctionne, je serais curieux de savoir si cela fonctionne.

Comme vous avez TOUJOURS une sauvegarde en utilisant Time Machine, au moins, si la situation empire, vous pouvez y revenir!

John Marc
la source
0

Pour ceux qui ont supprimé le certificat expiré, mais ont toujours le problème. Lancez l’accès au trousseau, accédez au point de menu correspondant, sélectionnez "trousseau de secours", exécutez une vérification, exécutez une réparation, puis exécutez une nouvelle vérification pour en être sûr. Le problème devrait partir.

Kurt Bussche
la source
Cela semble être la même chose que la réponse de Keith Bennett du 6 juillet.
Scott le
0

Cela m'a aidé:

(chrome, OsX)

  1. Ouvrez Keychain.app
  2. Rechercher "digicert" dans le coin en haut à droite de Keychain.app
  3. Sélectionnez tous les certificats digicert et supprimez-les avec un clic droit et un menu contextuel ( http://screencast.com/t/2T4f1XQa0Xu )
  4. Allez ici http://digicert.com/digicert-root-certificates.htm
  5. Recherchez sur la page et téléchargez le certificat CA DigiCert High Assurance EV Root
  6. Une fois téléchargé, cliquez dessus et installez-le dans votre trousseau
  7. Redémarrez votre chrome
Nedudi
la source
0

J'ai suivi le conseil d'Allen mais cela n'a pas fonctionné pour moi. Alors j'essaye ça. On dirait que ça marche.

  1. Suivez toutes les étapes d'Allen.
  2. Ouvrez le site concerné sur Safari (par exemple: github.com).
  3. Il vous promettra cette boîte d’alerte. Cliquez sur 'Afficher le certificat'. entrez la description de l'image ici
  4. Dans la liste déroulante "Lors de l'utilisation de ce certificat:", sélectionnez "Toujours faire confiance". Les 2 listes déroulantes ci-dessous suivront la même règle que vous avez sélectionnée ici. entrez la description de l'image ici
  5. Ouvrez Chrome, essayez d’accéder au site concerné (par exemple: github.com).

J'ai essayé ça. Facebook charge normalement. Mais, github chargé sans CSS. Je reçois un github squelette. Je ne sais pas pourquoi cela se produit. Mais la connexion est déjà établie et d’accord.

Une idée les gars?

Zulhilmi Zainudin
la source
0

Après avoir passé de nombreuses heures à essayer de résoudre ce problème, j'ai téléchargé - Link ;

  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA
  • Autorité de certification racine DigiCert Assurance ID

Aucune idée si cette bonne pratique, mais ça fonctionne pour moi. J'utilise OSX 10.9.5 et Chrome 42.0.2311.152 (64 bits)

Stuart
la source
0

Travaillez pour moi dans MAC 10.10.3 1) Ouvrez l’accès au trousseau 2) Recherchez l’ AC CA racine de DigiCert High Assurance EV 3) Double-cliquez sur CA racine de l’assurance DigiCert High Assurance 4) Sous Windows, sélectionnez l’ACTE racine de TRIG 5), avec conversion. menu sur lors de l'utilisation de ce certificat avec TOUJOURS TRUST DONE

suryo
la source
0

Trouvé le ci-dessous en ligne. J'étais sûr que c'était un peu comme si vous utilisiez quelqu'un pour presser ALT + F4 sous Windows, mais cela a fonctionné pour moi et un collègue:

  1. Cliquez n'importe où dans le cadre Chrome concerné
  2. Sur le clavier, tapez: danger

Ça y est, la page se charge. Le CSS ne se charge pas, il vous suffit donc de "Afficher le code source", de cliquer sur le fichier css pour afficher à nouveau le message d'erreur. Répétez les étapes ci-dessus pour afficher le code CSS. Puis actualisez la page Github et tout va bien.

Alan P.
la source