Як сказати, чому macOS вважає, що сертифікат відкликаний?

Я не можу отримати доступ до Вікіпедії на обох своїх Mac. macOS каже, що проміжний сертифікат, який використовується для підписання сертифікату Вікіпедії ( GlobalSign Organization Validation CA - SHA256 - G2), анульовано.

Я не вірю, що відповідний сертифікат був відкликаний, тому я перевірив CRL і OCSP служби GlobalSign вручну і обидва кажуть мені, що сертифікат у порядку.

Чи є інші джерела CRL, які macOS потенційно може використовувати? Чи можна попросити Security Framework сказати мені, що саме з цим сертифікатом не так?

Я спробував, crlrefresh rpа також вручну видалити кеш OCSP, sudo rm /var/db/crls/*cache.dbяк це документально підтверджено GlobalSign .

Однак схоже, кеш знаходиться в іншому місці на macOS 10.12 Sierra. Наступна команда працювала для мене і вирішила проблему:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

Я також спробував видалити всю базу даних, але вона, схоже, не повертається автоматично.

Якщо ви не впевнені, краще просто відновити ~/Library/Keychains/*/ocspcache.sqlite3*(включаючи -shmта -wal) з резервної копії до того, як сервери OCSP почали давати неправильні відповіді, наприклад з вчорашнього дня.

Можливо, це, здається, у GlobalSign виникла проблема з їх OCSP. Це взято з їхнього щебета ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Зараз ми відчуваємо проблеми з нашим OCSP, який спричиняє попередження про сертифікати. Ми прагнемо виправити це якомога швидше.

І також

ОНОВЛЕННЯ: Якщо ви користувач MAC, очистіть кеш crlrefresh rp

або Переглянути та / або Видалити CRL, кеш OCSP

Спробував інструкцію, надану компанією Global Sign, але це мені не дуже допомогло.

sudo rm /var/db/crls/*cache.dbНасправді не допомогло, оскільки є ще один файл кешу, crlcache2.dbякий не відповідав *cache.dbкритеріям.

Моє рішення було також видалити цей файл, а потім перезавантажити.

sudo rm /var/db/crls/crlcache2.db

Я думаю, що це безпечно, sudo rm /var/db/crls/*тому що в папці зберігаються лише файли кешу. Але якщо ви вирішили це зробити, робіть це на свій страх і ризик.

MacOS вважає, що сертифікат був анульований, оскільки проміжний сертифікат у його ланцюжку довіри був (випадково) відкликаний. Див. Статтю Глобальне вивільнення GlobalSign скасовує HTTPS-сертифікати топ-сайтів .

Повідомлення про помилку, яке ви бачите, вказує вам саме, який проміжний сертифікат був відкликаний. Що ще ви хочете знати?

Інший варіант - перейти на веб-сайт, який ви ніколи не використовуєте, на якому використовується глобальний знак, наприклад (для будь-яких мовців англійською мовою) https://it.wikipedia.org (італійська wikipedia), і коли він каже, що невірний cert явно довіряє глобальному знаку сертифікат, доки цей CF не буде правильно зафіксований