¿Cómo saber por qué macOS cree que se revoca un certificado?

Navega tus respuestas
42

No puedo acceder a Wikipedia en mis dos Mac. macOS dice que el certificado intermedio utilizado para firmar el certificado de Wikipedia ( GlobalSign Organization Validation CA - SHA256 - G2 ) ha sido revocado.

No creo que el certificado en cuestión haya sido revocado, por lo que verifiqué manualmente el servicio de CRL y OCSP de GlobalSign y ambos me dicen que el certificado es correcto.

¿Existen otras fuentes de CRL que MacOS pueda usar? ¿Hay alguna manera de pedir a Security Framework que me diga qué es exactamente exactamente lo que está mal con el certificado en su opinión?

    
pregunta kirelagin 13.10.2016 - 15:29

5 respuestas

40

Probé crlrefresh rp y también eliminé manualmente el caché de OCSP con sudo rm /var/db/crls/*cache.db como documentado por GlobalSign .

Sin embargo, el caché parece estar en una ubicación diferente en macOS 10.12 Sierra. El siguiente comando funcionó para mí y resolvió el problema: 

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

También intenté eliminar toda la base de datos, pero parece que no vuelve automáticamente.

Si no está seguro, mejor simplemente restaure ~/Library/Keychains/*/ocspcache.sqlite3* (incluidos -shm y -wal ) desde una copia de seguridad antes de que los servidores de OCSP comiencen a dar respuestas incorrectas, por ejemplo de ayer.

    
respondido por el raimue 13.10.2016 - 19:02
18

Podría ser esto, parece que GlobalSign tiene un problema con su OCSP. Esto se toma de su twitter ( enlace )

  

Actualmente estamos teniendo problemas con nuestro OCSP que está causando mensajes de advertencia de certificados. Nuestro objetivo es solucionar esto lo antes posible.

Y también

  

ACTUALIZACIÓN: si eres usuario de MAC, borra tu caché con crlrefresh rp

o Ver y / o eliminar CRL, OCSP Caché

    
respondido por el Michael Hansen 13.10.2016 - 15:44
0

Probé las instrucciones proporcionadas por Global Sign, pero realmente no me ayudó.

sudo rm /var/db/crls/*cache.db Realmente no ayudó porque hay otro archivo de caché crlcache2.db que no coincide con los criterios de *cache.db .

Mi solución fue eliminar también este archivo y luego reiniciar.

sudo rm /var/db/crls/crlcache2.db

Creo que es seguro para sudo rm /var/db/crls/* porque la carpeta solo contiene archivos de caché. Pero si decide hacerlo, hágalo bajo su propio riesgo.

    
respondido por el DawTaylor 14.10.2016 - 21:29
0

MacOS cree que el certificado fue revocado porque un certificado intermedio en su cadena de confianza fue (inadvertidamente) revocado. Consulte El error de GlobalSign cancela los certificados HTTPS de los principales sitios web .

El mensaje de error que está viendo le indica exactamente qué certificado intermedio se revocó. ¿Qué más quieres saber?

    
respondido por el Eric Towers 15.10.2016 - 22:11
-3

La otra opción es ir a un sitio que nunca use que use globalsign, por ejemplo (para cualquier hablante de inglés) enlace ( wikipedia en italiano) y cuando aparece, un certificado no válido confía explícitamente en el certificado globalsign hasta que este CF se corrija correctamente

    
respondido por el Simon 13.10.2016 - 19:34

Lea otras preguntas en las etiquetas

permitir sudo a otro usuario sin contraseña ¿Cómo deshabilitar la edición de PDF en la aplicación Vista previa?