Обновление для Mac OS X Lion 10.7.2 прерывает SSL
Резюме
После обновления с 10.7.1 по 10.7.2 ни Safari, ни Google Chrome не могут загружать GMail. Скручивание пляжных мячей вокруг.
Проблема не в GMail; Firefox загружает GMail просто отлично.
Проблема не ограничивается Safari или Google Chrome; Другие приложения также имеют проблемы с SSL: Gilgamesh и Safari. Любая программа, использующая WebKit (Google Chrome, Safari) или библиотеку Cocoa (Gilgamesh) для доступа к Интернету, имеет проблемы с загрузкой безопасных сайтов.
- Установка SSL на сервере Wamp: ошибка в httpd-ssl.conf
- Решение javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed Ошибка?
- Использование CERT Tapioca на VM
- Доверяйте всем сертификатам okHttp
- Как исправить, если сайт всегда перенаправляется на другой фишинг-сайт?
Различные онлайн-форумы предлагают несколько исправлений, ни одна из которых не работает.
Анализ
Исправить # 1: открыть Keychain Access.app и удалить Неизвестный сертификат.
Обновление 10.7.2 также предотвращает загрузку Keychain Access. Сама программа Keychain Spinning Beachballs.
Исправить # 2: Удалить ~ / Библиотека / Брелки / login.keychain и /Library/Keychains/System.keychain.
Это временно разрешает проблему и позволяет загружать защищенные сайты, но через минуту или две после перезагрузки или спячки каким-то волшебным образом отменяет исправление, поэтому вам придется удалять эти файлы снова и снова.
Исправить # 3: Удалить ~ / Библиотека / Приложение \ Поддержка / Моб * и / Библиотека / Приложение \ Поддержка / Моб *.
Существует слухи о том, что новый сервис MobileMe / iCloud ubd вызывает проблему. Это исправление не решает проблему.
Исправьте # 4: Откройте доступ к Keychain Access, откройте Preferences и отключите OCSP и CRL.
Это исправление не решает проблему.
Исправить # 5: использовать компилятор 10.7.0 -> 10.7.2, а не установщик 10.7.1 -> 10.7.2.
Когда я запускаю комбо-установщик , он остается навсегда на экране «Проверка пакетов …». Сам комбо-установщик прослушивается He ||.
Я принудительно завершаю установку, запускал «sudo killall installd», чтобы принудительно завершить процесс установки фона и перезапустить комбо-установщик.
Та же проблема: он кивает на «Validing Packages …»
резюмировать
Единственное исправление, которое работает, это удаление ключей, но вы должны делать это каждый раз, когда вы перезагружаетесь или просыпаетесь из спящего режима. Существует некоторое доказательство того, что ubd постоянно развращает файлы ключей, но предлагаемое решение ubd для удаления ~ / Library / Application \ Support / Mob * и / Library / Application \ Support / Mob * не разрешает эту проблему.
Очевидно, что что-то развращает брелок снова и снова.
Также опубликовано в сообществах поддержки Apple .
- Подписанный SSL-сертификат третьей стороны для localhost или 127.0.0.1?
- Как заблокировать определенный HTTPS-трафик?
- Непосредственно считывать / записывать данные подтверждения с помощью памяти BIO
- Подключение SSL / Сброс соединения с помощью IISExpress
- Как установить доверенный сертификат CA на Android-устройство?
- pip всегда терпит неудачу ssl проверка
- Как мне сделать TLS с BouncyCastle?
- Какой простой способ полностью игнорировать ssl с java-url-соединениями?
У нашего помощника Mac был успешный запуск DiskWarrior для устранения проблемы. Ни один из его клиентов не сообщил, что проблема всплывает до сих пор.
ОБНОВИТЬ:
Я понял, что исправить. Проблема возникает из-за того, что портал в блоке отвечает на ВСЕ. Я скорректировал DNS порталов порталов, чтобы дать плохие результаты для сайтов OCSP и CRL. В этом случае я использовал 127.0.0.1. Запросы теперь тайм-аут вместо отказа от неверных данных. Он также работает локально, изменяя «/ private / etc / hosts» и добавляя такие записи:
127.0.0.1 crl.usertrust.com 127.0.0.1 ocsp.usertrust.com 127.0.0.1 crl.incommon.org 127.0.0.1 ocsp.incommon.org Правильные записи могут зависеть от CA для сертификата. Я нашел эти адреса, наблюдая за подключением через Wireshark.
Могу ли я добавить, что MobileMe теперь iCloud, поэтому папка не является Application Support / Mobi *, а скорее поддержкой приложений / Ubiquity.
Удалите это, хотя у меня были смешанные результаты. Он работал только 1/3 раза. Способ, который определенно работает, удаляет:
~ / Библиотека / Брелки / login.keychain и /Library/Keychains/System.keychain
Просто промойте и повторите. Я не совсем уверен, когда доступ к Keychain Access сломается, но в какой-то момент (как правило, около 3 дней для меня) все перестает работать.
Похоже, что Firefox оборачивается, и если вы вообще ничего не хотите делать, вы можете отключить OCSP в Firefox (about: config) только для входа на ваш беспроводной портал, а затем не забудьте снова включить его. Это не будет исправлять Safari или Chrome, хотя (какое слово в Opera?)
Но лучшим решением является восстановление до 10.7.1 или 10.7. Раньше у меня был DMG-файл, и он был 10.7.1. Выполнение «переустановки» копирует только файлы системы Lion и сохраняет всю вашу установку в форме. Таким образом, вы действительно просто переустанавливаете ОС, но сохраняете ВСЕ ваши приложения и данные. Пока это было прекрасно. Помните, что не обновляйтесь до 10.7.2, если вы собираетесь откатываться.
Отключение проверки OCSP и CRL – очень плохая идея. По сути, вы говорите, что вас не волнует аннулирование сертификата. Это не очень хорошо, учитывая, что количество авторитетов сертификатов становится взломанным в эти дни. Именно поэтому яблоко улучшило его безопасность для невольных порталов. Проблема заключается в самом подключенном портальном соединении. Если вы перейдете к одному, вы не сможете проверить CRL или OCSP, потому что (duh!) Вы находитесь в недоступном для вас портале. Кто бы ни предоставлял этот портал, он также должен вызывать дыры в своем брандмауэре, чтобы вы могли выйти из портативного портала, чтобы проверить сертификаты, которые дает страница https clive portal. Мы должны были сделать это на нашей корпоративной беспроводной системе, прежде чем Лев мог добраться где угодно.
После нескольких недель разочарований в этой постоянно повторяющейся проблеме (и ожидая, что Apple выпустит исправление), я решил искать любое решение, которое откатывается от обновления 10.7.2. К сожалению, я не нашел способ откат к 10.7.1 или 10.7.0.
Поэтому я решил использовать Lion Recovery и посмотреть, как это влияет на ситуацию. Я выполнил процедуру восстановления, выполнив действия, описанные в этой статье поддержки Apple .
Я рад сообщить, что в моем случае проблема (надеюсь) исчезла! По какой-то причине, хотя процесс восстановления Lion переустановил OS X обратно в версию 10.7.2, у меня не было никаких проблем с Keychain или SSL уже более недели.
Я использовал режим онлайн-восстановления, и кажется, что версия OS X, загружаемая во время процесса восстановления, имеет некоторую настройку, которая не повреждает цепочку ключей. Процесс Lion Recovery был очень гладким, и мне не пришлось переустанавливать любые приложения или восстанавливать файлы из резервной копии (я бы порекомендовал делать резервные копии). Мой MacBook Pro – версия 5,1.
Это первый раз для меня, что обновление безопасности Apple нарушило OS X таким большим образом. Я все еще удивляюсь, почему они не выпустили исправление / обновление, чтобы исправить эту проблему.
(YMMV, но это сработало для меня). Я отключил сеть, перезагрузился, чтобы убить проблему с брелками, или же он замораживает доступ к Keychain Access, не нужно ничего удалять. Затем я отключил OCSP и CRL. Я активировал сеть … Я подключился к моему пленному порталу, а затем снова активировал все.
Проблема заключается в том, что доступный портал требует сертификатов, но блокирует цепочку сертификатов. Спасибо за другого, предлагающего это.
По моему опыту это случается только при подключении за пленным порталом. Я думаю, причина в том, что операционная система пытается проверить сертификат страницы входа в невольный портал, но для процесса проверки требуется доступ в Интернет. Я смог исправить эту проблему, вручную добавив сертификат к странице портативного портала в цепочку ключей и пометив ее, как всегда, доверие.
Вы можете экспортировать сертификат со следующими шагами:
- Посетите страницу портала в браузере Firefox
- Выберите
Tools > Page Info > Security > View Certificate > Details > Export - Сохраните сертификат на своем жестком диске с расширением «.crt»
Вы можете импортировать сертификат со следующими шагами:
- Открыть
Keychain Access.app - Перетащите сертификат из Finder в цепочку ключей
- Дважды щелкните по сертификату и разверните раздел «Доверие»
- Выберите «При использовании этого сертификата:
Always Trust» - Закрыть всплывающее окно
Если вы не можете открыть доступ к Keychain, потому что ваш брелок поврежден, отключите беспроводную связь, удалите ~/Library/Keychains/login.keychain и /Library/Keychains/System.keychain , а затем перезагрузитесь.
Я нашел проблему. Это вызвано исправлением безопасности в 10.7.2 (Security Captive Portal Hijacking). Вероятно, одна из сетей, к которой вы подключены, имеет сайт портала, на котором вы можете ввести данные для входа … для меня это была сеть WiFi.
Чтобы решить эту проблему на данный момент, отключите все сети, перезагрузите, запустите цепочку ключей, перейдите в настройки, сертификаты, выключите OCSP и CRL. Перезагрузите, активируйте свои сети, и там вы идете …
Мне удалось сделать «fix № 2», как указано выше.
В Терминале:
$ cd /Users/[username]/Library/keychains $ remove login.keychain
А затем перезагрузитесь.
Предложение в конце https://discussions.apple.com/thread/3430739?start=0&tstart=0 похоже указывает на то, что следующая процедура устраняет проблему: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html