[apple] macOS에서 인증서가 해지되었다고 생각하는 이유는 무엇입니까?

두 Mac 모두에서 Wikipedia에 액세스 할 수 없습니다. macOS는 Wikipedia의 인증서 ( GlobalSign Organization Validation CA - SHA256 - G2) 에 서명하는 데 사용 된 중간 인증서 가 취소 되었다고 말합니다 .

여기에 이미지 설명을 입력하십시오

문제의 인증서가 해지되었다고 생각하지 않으므로 GlobalSign의 CRL 및 OCSP 서비스를 수동으로 확인하고 인증서가 정상임을 알려줍니다.

macOS가 잠재적으로 사용할 수있는 다른 CRL 소스가 있습니까? 보안 프레임 워크에 인증서의 의견이 정확히 무엇인지 말해 줄 있는 방법이 있습니까?



답변

나는 노력 crlrefresh rp과 수동과 OCSP 캐시 삭제 sudo rm /var/db/crls/*cache.dbGlobalSign에 의해 문서화를 .

그러나 캐시는 macOS 10.12 Sierra에서 다른 위치에있는 것 같습니다. 다음 명령이 저에게 효과적이며 문제를 해결했습니다.

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

또한 전체 데이터베이스를 삭제하려고 시도했지만 자동으로 다시 나타나지 않는 것 같습니다.

확실하지 않은 경우 OCSP 서버가 예를 들어 어제부터 잘못된 응답을 제공하기 전에 백업에서 복원 ~/Library/Keychains/*/ocspcache.sqlite3*( -shm및 포함 -wal)하는 것이 좋습니다 .


답변

GlobalSign이 OCSP에 문제가있는 것 같습니다. 이것은 그들의 트위터에서 가져온 것입니다 ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

현재 인증서 경고 메시지를 발생시키는 OCSP에 문제가 있습니다. 우리는 가능한 빨리이 문제를 해결하려고합니다.

그리고 또한

업데이트 : MAC 사용자 인 경우 캐시를 지우십시오. crlrefresh rp

또는 CRL, OCSP 캐시보기 및 / 또는 삭제


답변

Global Sign이 제공하는 지시를 시도했지만 실제로 도움이되지 않았습니다.

sudo rm /var/db/crls/*cache.db기준 crlcache2.db과 일치하지 않는 다른 캐시 파일 이 있기 때문에 실제로 도움 이되지 않았습니다 *cache.db.

내 해결책은이 파일을 제거한 다음 다시 부팅하는 것이 었습니다.

sudo rm /var/db/crls/crlcache2.db

sudo rm /var/db/crls/*폴더에는 캐시 파일 만 보유 하기 때문에 안전하다고 생각 합니다. 그러나 당신이 그것을 선택했다면, 당신 자신의 위험에 감수하십시오.


답변

MacOS는 신뢰 체인의 중간 인증서가 (실수로) 취소 되었기 때문에 인증서가 해지되었다고 생각합니다. GlobalSign 스크류 업으로 최상위 웹 사이트의 HTTPS 인증서 취소를 참조하십시오 .

보고있는 오류 메시지는 해지 된 중간 인증서를 정확히 알려줍니다. 무엇을 더 알고 싶습니까?


답변

다른 옵션은 globalsign을 사용하지 않는 사이트 (예 : 영어 사용자의 경우) https://it.wikipedia.org (이탈리아 위키 백과)를 사용하고 유효하지 않은 인증서가 globalsign을 명시 적으로 신뢰한다고 말하는 경우 이 CF가 올바르게 수정 될 때까지 인증서


답변