Оновлення Mac OS X Lion 10.7.2 розбиває SSL

Підсумок

Після оновлення з 10.7.1 до 10.7.2 ні Safari, ні Google Chrome не можуть завантажувати GMail. Спінінг пляжні кульки навколо.

Проблема не в GMail; Firefox завантажує GMail просто чудово.

Проблема не обмежується Safari або Google Chrome; Інші програми також мають проблеми із SSL: Gilgamesh та Safari. Будь-яка програма, яка використовує WebKit (Google Chrome, Safari) або бібліотеку какао (Gilgamesh) для доступу до Інтернету, має проблеми із завантаженням захищених сайтів.

На різних форумах в Інтернеті пропонується кілька виправлень, жоден з яких не працює.

Аналіз

Виправлення №1: Відкрийте Keychain Access.app та видаліть невідомий сертифікат.

Оновлення 10.7.2 також запобігає завантаженню Keychain Access. Сама програма-брелок Spinning Beachballs.

Виправлення №2: Видалити ~ / Бібліотека / Брелки / login.keychain та /Library/Keychains/System.keychain.

Це тимчасово вирішує проблему і дозволяє завантажувати захищені сайти, але через хвилину-дві після перезавантаження або сплячки якось магічно скасовується виправлення, тому вам доведеться видаляти ці файли знову і знову.

Виправлення №3: Видалити ~ / Бібліотека / Додаток \ Підтримка / Mob * та / Бібліотека / Програма \ Підтримка / Mob *.

Ходять чутки, що нова послуга ubdd MobileMe / iCloud викликає проблему. Це виправлення не вирішує проблему.

Виправлення №4: відкрийте доступ до брелка, відкрийте налаштування та відключіть OCSP та CRL.

Це виправлення не вирішує проблему.

Виправлення №5: Використовуйте комбінований інсталятор 10.7.0 -> 10.7.2, а не 10.7.1 -> 10.7.2.

Коли я запускаю комбінований інсталятор , він залишається назавжди на екрані "Проверка пакетів ...". Сам інсталятор комбо приєднаний до He ||

Я змусив-вийти з інсталятора, запустив "sudo killall installd", щоб змусити-вийти з фонового процесу інсталятора, і перезапустив комбінований інсталятор.

Ця ж проблема: вона зупиняється на "Дійсні пакети ..."

Резюме

Єдине виправлення, яке працює, - це видалення брелоків, але це потрібно робити щоразу, коли ви перезавантажуєтесь або виходите зі сну. Існують деякі докази того, що ubd постійно пошкоджує файли брелоків, але запропонований виправлення ubd видалення ~ / Бібліотека / Програма \ Підтримка / Mob * та / Бібліотека / Програма \ Підтримка / Mob * не вирішує цю проблему.

Очевидно, що щось псує брелок знову і знову.

Також розміщено на спільнотах Apple Support .

Наша людина, яка працює з підтримкою Mac, успішно запустила DiskWarrior для вирішення проблеми. Жоден з його клієнтів не повідомив про проблему, що з'явилася до цього часу.

ОНОВЛЕННЯ:

Я вигадав виправлення. Проблема трапляється тому, що портал, що перебуває у полоні, відповідає на ВСЕ. Я скоригував DNS портального сайту, щоб дати погані результати для сайтів OCSP та CRL. Я використовував 127.0.0.1 в цьому випадку. Тепер запити таймаут замість того, щоб повернути неправильні дані. Він також працює локально, змінюючи "/ private / etc / hosts" та додаючи записи таким чином:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Правильні записи можуть залежати від CA для сертифіката. Ці адреси я знайшов під час перегляду з'єднання за допомогою Wireshark.

Можу додати, що MobileMe зараз є iCloud, тому папка - це не підтримка додатків / Mobi *, а швидше підтримка додатків / повсюдність.

Видаліть це, хоча у мене були неоднозначні результати. Це працювало лише 1/3 рази. Спосіб, який напевно працює, - це видалення:

~ / Бібліотека / Брелки / login.keychain та /Library/Keychains/System.keychain

Просто промийте і повторіть. Я не зовсім впевнений, коли Keychain Access порушиться, але в якийсь момент (як правило, близько 3 днів для мене) все перестає працювати.

Firefox, здається, обходить речі, і якщо ви взагалі не хочете нічого робити, ви можете вимкнути OCSP у Firefox (приблизно: config) просто для входу на свій бездротовий портал, а потім не забудьте його знову ввімкнути. Це не виправить Safari чи Chrome, хоча (яке слово в Opera?)

Але найкращим рішенням є відновлення до 10.7.1 або 10.7. У мене трапився файл DMG раніше, і це було 10.7.1. Здійснюючи «перевстановлення», копіюються лише ваші системні файли Lion та зберігають всю установку у формі. Таким чином, ви дійсно просто перевстановлюєте ОС, але зберігаєте ВСІ ваші програми та дані. Поки що це було ідеально. Просто пам’ятайте, що не оновлювати до 10.7.2, якщо ви збираєтеся відкотити.

Відключення перевірок OCSP та CRL - це дуже погана ідея. По суті, ви говорите, що вас не хвилює відкликання сертифікатів. Це не дуже добре, враховуючи кількість сертифікованих органів, які отримують зламу в ці дні. Саме тому Apple покращила безпеку для порталів, що перебувають у полоні. Проблема полягає в самому підключенні порталу з неволі. Якщо ви переходите до одного, ви не можете перевірити наявність CRL або OCSP, оскільки (так!) Ви перебуваєте на порталі, що перебуває у полоні. Хто б не надав цей портал, повинен також пробивати отвори у їхньому брандмауері, щоб ви могли з порталу, що перебуває у полоні, перевіряти сертифікати, які надає вам сторінка порталу https, що знаходиться у полоні. Ми повинні були зробити це на нашій бездротовій системі підприємства, перш ніж Lion зможе дістатися куди завгодно.

Після тижнів розчарування з цією постійно повторюваною проблемою (і чекаючи, коли Apple випустить виправлення), я вирішив шукати будь-яке рішення, яке відкатується від оновлення 10.7.2. На жаль, я не знайшов способу відкоту до 10.7.1 або 10.7.0.

Тому я вирішив скористатися відновленням левів і подивитися, як це впливає на ситуацію. Я виконав процедуру відновлення, дотримуючись кроків, викладених у цій статті підтримки Apple .

Я радий повідомити зараз, що в моєму випадку проблема (сподіваємось) зникла! Чомусь, хоч процес відновлення Lion перевстановив OS X до версії 10.7.2, я вже більше тижня не мав жодних проблем із Keychain або SSL.

Я використовував онлайн-режим відновлення, і здається, що версія OS X, яка завантажується в процесі відновлення, має певну настройку, яка не пошкоджує брелок. Процес відновлення Lion пройшов дуже гладко, і мені не довелося перевстановлювати додатки чи відновлювати файли з резервного копіювання (я б все-таки рекомендував робити резервні копії). Мій MacBook Pro - версія 5,1.

Це вперше для мене, коли оновлення безпеки Apple зламало OS X настільки великим чином. Мені все ще цікаво, чому вони не випустили виправлення / оновлення, щоб виправити цю проблему.

(YMMV, але це працювало на мене) - я відключив мережу, перезавантажився, щоб усунути проблему брелока, або ж заморозив доступ Keychain, не потрібно нічого видаляти. Потім я деактивував OCSP та CRL. Я активізував мережу ... Я підключився до мого полонного порталу, а потім повторно активував усе.

Проблема полягає в тому, що портал, що займається захопленням, вимагає сертифікатів, але блокує ланцюжок сертифікатів. Дякую за те, що інший пропонує це.

На мій досвід, це відбувається лише під час підключення за захопленим порталом. Я думаю, що причина полягає в тому, що операційна система намагається перевірити сертифікат сторінки входу з неволі, але процес перевірки вимагає доступу до Інтернету. Мені вдалося виправити цю проблему, вручну додавши сертифікат сторінки, що перебуває у полоні, до брелоку та позначив її як завжди довіру.

Ви можете експортувати сертифікат, виконавши такі дії:

1. Завітайте на сторінку захопленого порталу у Firefox
2. Виберіть Tools > Page Info > Security > View Certificate > Details > Export
3. Збережіть сертифікат на жорсткому диску з розширенням ".crt"

Ви можете імпортувати сертифікат, виконавши такі дії:

1. відчинено Keychain Access.app
2. Перетягніть сертифікат із Finder у брелок
3. Двічі клацніть на сертифікаті та розгорніть розділ «Довіра»
4. Виберіть "Під час використання цього сертифіката: Always Trust "
5. Закрийте спливаюче вікно

Якщо не вдається відкрити Keychain Access , тому що ваш брелок пошкоджений, вимкніть бездротовий, видалення ~/Library/Keychains/login.keychainі /Library/Keychains/System.keychain, а потім перезавантажте комп'ютер.

Я знайшов проблему. Це спричинено виправленням безпеки в 10.7.2 (Викрадення порталу безпеки викрадених). Ймовірно, що в одній із мереж, до яких ви підключені, є веб-сайт порталу, де ви можете вводити дані для входу ... для мене це була мережа WiFi.

Щоб вирішити цю проблему на даний момент, відключіть усі мережі, перезавантажте, запустіть брелок, перейдіть до налаштувань, сертифікатів, вимкніть OCSP та CRL. Перезавантажте, активуйте свої мережі і там ви переходите ...

Мені вдалося зробити "виправити №2", як зазначено вище.

У Терміналі:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

а потім перезавантажте.

Пропозиція наприкінці https://discussions.apple.com/thread/3430739?start=0&tstart=0, схоже, вказує на те, що наступна процедура вирішує проблему: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html