Чому OS X не довіряє SSL-сертифікату GitHub?


68

Коли я переходжу на будь-яку сторінку github.com у Chrome, я отримую велику потворну помилку:

Ви намагалися зайти до github.com, але сервер представив сертифікат, виданий суб'єктом господарювання, якому операційна система вашого комп'ютера не довіряє. Це може означати, що сервер створив власні облікові дані безпеки, на які Chrome не може покластися на інформацію про особу, або зловмисник може намагатися перехопити ваші комунікації.

Ви не можете продовжувати роботу, оскільки оператор веб-сайту просив підвищити захист цього домену.

Те саме відбувається (в Chrome і з завитком), коли я теж переходжу на https://www.digicert.com/ . Ця дивна проблема почалася близько півтора тижнів тому.

Ось що я бачу, коли натискаю значок зламаного блокування в адресному рядку:

GitHub.com зламаний Інформація про сертифікат GitHub.com

Але gist.github.com працює чудово:

Gist.GitHub.com працює Інформація про сертифікат Gist.GitHub.com

Він також не працює з curl:

Він не працює з завитком

У Firefox все працює добре.

Як я можу виправити свою кореневу проблему?

Ось як це виглядає у Firefox:

введіть тут опис зображення введіть тут опис зображення

Оновлення:

Я помітив, що перший сертифікат у ланцюжку відрізняється від мого зламаного Chrome / Safari порівняно з Chrome на моєму іншому комп’ютері.

введіть тут опис зображення введіть тут опис зображення

(Більше немає огидного червоного X, тому що я довіряв цьому Safari.) Бачите, чим відрізняються емітенти? Що я можу зробити з цього?


Існує різниця між * .github.com та github.com, який браузер ви використовуєте?
Рамхаунд

Хром. Він зламаний у Chrome, але він працює у Firefox. Він не працює з завитком.
Тревор Діксон

Чи можете ви розміщувати інформацію Firefox, яка показує, що сертифікат не має помилок?
Рамхаунд

Додано фотографії Firefox внизу.
Тревор Діксон

Така ж проблема і з самим digicert.com .
Тревор Діксон

Відповіді:


42

це працювало для мене:

Keychain.app > Preferences > General > Reset My Default Keychain

ОНОВЛЕННЯ

Менш драстичний варіант - видалити сертифікат DigiCert з брелка для входу : у будь-якому випадку його ви вже повинні мати в кореневій брелоці. Схоже, ця помилка виникає, коли обидві не збігаються.


2
Здається
драматично

3
Я вважаю, що видалення сертифіката в Keychain для входу може також працювати. Якщо я правильно зрозумів, DigiCert все одно знаходиться в кореневій брелоці. Варто спробувати перед скиданням. (Звичайно, резервні копії тощо)
evacchi

Так, це працювало для мене. Загадка, чому це в брелок для входу. При огляді дві версії не є однаковими; цікаво, звідки взялася версія для входу.
JLundell

добре знати, я оновлю відповідь.
evacchi

3
Як осторонь: подібні проблеми можуть бути спричинені тим, що закінчився термін дії кореневого сертифіката в Keychain для входу в систему, який переосмислює оновлені сертифікати з коренів системи. Щоб показати їх, увімкніть "Показати терміни дії, що минув" у меню "Перегляд".
Ар'ян

79

З 26 липня 2014 року з’явилася нова проблема, коли закінчився термін дії старого, очевидно, загального розповсюдження сертифіката.

На основі https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Інструкція щодо очищення терміну дії сертифікату DigiCert SSL на OSX

 
  1. Запуск доступу до брелка через прожектор
    • ⌘-Простір
    • Введіть "Доступ до брелоків"
    • Натисніть повернення
  2. Переконайтеся, що термін дії сертифікатів закінчився; увімкніть "Показати сертифікати з минулим терміном дії" в меню "Перегляд".
  3. Шукати "Digicert".
  4. Клацніть правою кнопкою миші сертифікат із червоним X та виберіть "Видалити DigiCert High Assurance EV Root CA"
  5. Сертифікат може не виглядати видаленим, доки не запуститься Keychain Access
  6. Перезавантажте веб-переглядачі
Вам слід знову отримати доступ до постраждалих сайтів.

 


2
Видалення сертифіката не допомогло. Я перезавантажив комп’ютер. Випуск зберігається. Будь-яка ідея?
Авіель

9
Гаразд, я, мабуть, видаляю занадто багато сертифікатів digi, я зайшов сюди digicert.com/digicert-root-certificates.htm та завантажив сертифікат "DigiCert High Assurance EV Root CA".
Авіель

1
@Aviel Спасибі, завантаживши та перевстановивши цей сертифікат, це зробили для мене.
Тім Скотт

1
Це спрацювало як шарм для мене, а також вирішило подібне питання із сафарі (як ви очікували). Мені потрібно було перезапустити Chrome.
biggusjimmus

Чудово! Це працювало для мене. Дякую @Allen Hancock :)
Марк Робсон

2

Жодна з цих відповідей не працювала для мене. Натомість я знайшов кореневі сертифікати DigiCert, завантажив їх і встановив їх вручну, натиснувши на них у Finder.

Знайдіть їх тут у розділі Перевірка проміжного магазину сертифікатів: https://www.digicert.com/ssl-support/windows-cross-signed-chain.htm


1

Я просто спробував рішення Джона, і це не допомогло. Хоча в моєму випадку я не знайшов жодної із значків «синій +» у класі.
Отже, я лише видалив два запропоновані файли кешу та перезавантажився.
У моєму випадку я намагаюся оновити програму в Macports, яка використовує git для підключення до github для завантаження джерела, і це дає помилку. І я бачу помилку в Safari, але не в Firefox.

Після вищесказаного я зв’язався з DigiCert, і вони дуже допомогли вирішити це. У Keychain Access-> Система Roots Категорія: Сертифікати

DigiCert Висока надійність EV Root CA-> Довіра-> Зміна SSL від: значення не вказано на: Завжди довіряти GTE CyberTrust Global Root-> Довіра-> Зміна SSL з: значення не вказано на: Завжди довіряти


1

Для мене проблему було вирішено, запустивши утиліту Keychain Access, обравши Keychain First Aid з меню Keychain Access і вибравши Repair.


Якщо натиснути ремонт, видалено всі мої сертифікати, тому це може бути побічним продуктом.
Сірий

0

Нещодавно виникла проблема з різними SSL-сертифікатами, виявив, що це працює для 90% цих питань.

Видаліть файли /var/db/crls/crlcache.db та /var/db/crls/ocspcache.db. Їх можна знайти за допомогою програми Finder's Go>; Перейдіть до меню папок (Cmd + Shift + G). Це скидає кеш прийнятих сертифікатів у системі. Він не видаляє їх, він просто змушує систему відновити кеші при перезапуску.

Відкрийте доступ до брелка (/ програми / утиліти / доступ до брелка). Виберіть "Сертифікати" у вікні вибору категорії зліва. У рядку пошуку введіть слово Class. Перегляньте цей список і знайдіть будь-які сертифікати, які мають символ синього + над їх значком. Це ті, що вам потрібно змінити.

Виберіть той, у якого є синій +, і натисніть Command + I. Клацніть трикутник розкриття біля списку "Довіра", щоб відобразити список дозволів. Тепер, що нам потрібно зробити, це встановити цей сертифікат для використання системних значень за замовчуванням. Однак, чомусь вибираєте його, це не економить. Отже, що вам потрібно зробити, це це. У розділі "Довіра", де написано "Шар захищених сокетів (SSL)", змініть спадне меню, щоб сказати "Не вказано значення". Потім закрийте вікно. Він запитає ваших прав адміністратора. Потім знову відкрийте інформаційну панель для цього сертифіката. У розділі "Довіра" знову встановіть спадне меню, що говорить "При використанні цього сертифіката:", щоб сказати "Використовувати системні параметри за замовчуванням". Потім можна закрити інформаційну панель і знову ввести свій пароль. Зробіть це для будь-якого з сертифікатів, у яких на їх піктограмі є синій +. Має бути не більше одного чи двох.

Перезавантажте систему.

Дайте мені знати, якщо це працює, мені буде цікаво, якщо це працює.

Оскільки ЗАВЖДИ є резервна копія за допомогою Time Machine, тому що якщо вона погіршиться, принаймні ви можете повернутися!


0

Для тих, хто вилучив термін з минулим терміном, але проблема все ще є. Запустіть доступ до брелоків, перейдіть до пункту меню для нього, виберіть "Перша допомога брелка", запустіть чек, запустіть ремонт, після чого запустіть чек ще раз, щоб бути впевненим. Проблема повинна відійти.


Здається, це те саме, що відповідь Кіта Беннета 6 липня
Скотт,

0

Це допомогло мені:

(хром, OsX)

  1. Відкрийте Keychain.app
  2. Шукайте "digicert" у верхньому правому куті Keychain.app
  3. Виберіть усі сертифікати Digicert та видаліть їх правою кнопкою миші та контекстним меню ( http://screencast.com/t/2T4f1XQa0Xu )
  4. Перейдіть сюди http://digicert.com/digicert-root-certificate.htm
  5. Знайдіть на сторінці та скачайте сертифікат DigiCert High Assurance EV Root CA
  6. Після завантаження - натисніть на нього та встановіть його у свій брелок
  7. Перезавантажте хром

0

Я дотримувався підказки Аллена, але це не спрацювало. Тож я спробую це. Схоже, це працює.

  1. Виконайте всі кроки Аллена.
  2. Відкрийте порушений сайт на Safari (наприклад: github.com).
  3. Він повідомить вам це поле сповіщення. Натисніть "Показати сертифікат". введіть тут опис зображення
  4. У спадному меню "При використанні цього сертифіката:" виберіть "Завжди довіряти". Усі 2 спадні місця, що випадають нижче, будуть дотримуватися того самого правила, яке ви обрали тут. введіть тут опис зображення
  5. Відкрийте Chrome, спробуйте отримати доступ до постраждалого сайту (наприклад: github.com).

Я спробував це. Facebook завантажується нормально. Але, github завантажений без CSS. Я отримую скелетний гітуб. Я не знаю, чому це відбувається. Але зв’язок вже налагоджений і нормальний.

Якісь ідеї, хлопці?


0

Провівши багато годин, намагаючись виправити це, я завантажив - Посилання ;

  • DigiCert Global Root CA
  • DigiCert з високою надійністю EV Root CA
  • DigiCert Assurance ID Root CA

Поняття не маю, якщо ця хороша практика, але вона працює для мене. Я працюю OSX 10.9.5 та Chrome 42.0.2311.152 (64-розрядні)


0

Робота для мене в MAC 10.10.3 1) Відкрити доступ до брелоку 2) Пошук DigiCert High Assurance EV Root CA 3) Двічі клацніть на DigiCert High Assurance EV Root CA 4) У вікнах DigiCert High Assurance EV Root CA виберіть TRUST 5) зміна з витягненням меню увімкнено, коли ви користуєтесь цим сертифікатом ЗАВЖДИ ДОСТУПНО


0

Знайдено нижче в Інтернеті. Я був впевнений, що це якась помилка на кшталт того, як ви звикли когось натискати ALT + F4 у Windows, але це працювало для мене та колеги:

  1. Клацніть в будь-якому місці рамки Chrome, на яку це стосується
  2. На клавіатурі введіть: небезпека

Це все, сторінка завантажується. CSS не завантажується, тому ви просто "Переглянути джерело", натисніть на файл css, і ви знову побачите повідомлення про помилку. Повторіть дії, описані вище, і відобразиться CSS. Потім оновіть сторінку Github і все добре.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.