Não consigo acessar a Wikipedia nos meus Macs. O macOS diz que o certificado intermediário usado para assinar o certificado da Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2
) foi revogado.
Como não acredito que o certificado em questão tenha sido revogado, verifiquei manualmente o serviço CRL e OCSP da GlobalSign e ambos me disseram que o certificado está OK.
Existem outras fontes de CRLs que o macOS pode usar potencialmente? Existe uma maneira de solicitar ao Security Framework que me diga exatamente o que há de errado com o certificado em sua opinião?
security
keychain
sierra
certificate
Kirelagin
fonte
fonte
Respostas:
Tentei
crlrefresh rp
e também excluí manualmente o cache do OCSPsudo rm /var/db/crls/*cache.db
conforme documentado pela GlobalSign .No entanto, o cache parece estar em um local diferente no macOS 10.12 Sierra. O comando a seguir funcionou para mim e resolveu o problema:
Também tentei excluir o banco de dados inteiro, mas ele não parece voltar automaticamente.
Se não tiver certeza, é melhor restaurar
~/Library/Keychains/*/ocspcache.sqlite3*
(incluindo-shm
e-wal
) a partir de um backup antes que os servidores OCSP comecem a dar respostas erradas, por exemplo, ontem.fonte
Pode ser que isso pareça que a GlobalSign tenha um problema com seu OCSP. Isso é retirado de seu twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )
E também
ou Exibir e / ou excluir cache da CRL, OCSP
fonte
crlrefresh rp
e não parece ajudar. De qualquer forma, o que estou procurando é uma maneira de convencer o macOS a me dizer exatamente o motivo pelo qual ele acha que o certificado é ruim (seja o OCSP ou qualquer outra coisa).Tentei as instruções fornecidas pela Global Sign, mas isso realmente não me ajudou.
sudo rm /var/db/crls/*cache.db
Na verdade, não ajudou porque há outro arquivo de cachecrlcache2.db
que não corresponde aos*cache.db
critérios.Minha solução foi também remover este arquivo e, em seguida, reiniciar.
sudo rm /var/db/crls/crlcache2.db
Eu acho que é seguro,
sudo rm /var/db/crls/*
porque a pasta contém apenas arquivos de cache. Mas se você optar por fazê-lo, faça-o por sua conta e risco.fonte
O MacOS acredita que o certificado foi revogado porque um certificado intermediário em sua cadeia de confiança foi (inadvertidamente) revogado. Consulte O erro GlobalSign cancela os certificados HTTPS dos principais sites .
A mensagem de erro exibida indica exatamente qual certificado intermediário foi revogado. O que mais você gostaria de saber?
fonte
A outra opção é acessar um site que você nunca usa e que usa globalsign, por exemplo (para quem fala inglês) https://it.wikipedia.org (wikipedia em italiano) e quando aparece dizendo que certificado inválido confia explicitamente no globalsign certificado até que este CF seja corrigido corretamente
fonte