После обновления до Mac OS X 10.11.4 я начинаю видеть сообщения о том, что сертификаты недействительны

Question

Я обновился с Mac OS X 10.11.3 до 10.11.4 на этой неделе. После этого я обнаружил, что, если я открываю какое-то программное обеспечение, например страницу загрузки симулятора XCode, или клиента HMA (VPN-клиент), он сообщает некоторую информацию: недопустимые сертификаты находятся ниже:

"Could not download and install OS X 10.11.4 Documentation. The certificate for this server is invalid. You might be connecting to a server that is pretending to be “devimages.apple.com.edgekey.net” which could put your confidential information at risk."

Или же:

"System.Net.WebException: Error: SendFailure (Error writing headers) ---> System.Net.WebException: Error writing headers ---> System.IO.IOException: The authentication or decryption has failed. ---> Mono.Security.Protocol.Tls.TlsException: Invalid certificate received from server. Error code: 0x5
  at Mono.Security.Protocol.Tls.Handshake.Client.TlsServerCertificate.RemoteValidation (Mono.Security.Protocol.Tls.ClientContext context, AlertDescription description) [0x00000] in <filename unknown>:0 "

И в системном журнале я также вижу:

17467     error=Error Domain=kCFErrorDomainCFNetwork Code=-1202 "The certificate for this server is invalid. You might be connecting to a server        that is pretending to be “setup.icloud.com” which could put your confidential information at risk."                                               UserInfo={NSErrorFailingURLStringKey=https://setup.icloud.com/configurations/init, NSLocalizedRecoverySuggestion=Would you like to connect        to the server anyway?, _kCFNetworkCFStreamSSLErrorOriginalValue=-9807, kCFStreamPropertySSLPeerCertificates=(
17468         "<SecCertificate 0x7fdaba571060 [0x7fff7abb5440]>",                                                                                 
17469         "<SecCertificate 0x7fdaba551430 [0x7fff7abb5440]>"
17470     ), _kCFStreamPropertySSLClientCertificateState=0, kCFStreamPropertySSLPeerTrust=<SecTrust 0x7fdaba412b20 [0x7fff7abb5440]>,                   NSLocalizedDescription=The certificate for this server is invalid. You might be connecting to a server that is pretending to be “setup.           icloud.com” which could put your confidential information at risk., _kCFStreamErrorDomainKey=3, NSErrorFailingURLKey=https://setup.icloud.        com/configurations/init, _kCFStreamErrorCodeKey=-9807}, httpStatusCode=-1, responseHeaders=
17471     (null)

Однако, если я создам новую учетную запись администратора на том же компьютере, проблемы исчезнут. Я не уверен, что сломано, и я могу это исправить.

Пожалуйста, помогите мне исправить это! Спасибо!

Answer 1

Таким образом, после регистрации ошибки на Radar, люди Apple сказали мне проверить цепочку ключей - настройки - вкладка сертификатов.

При изменении значения CRL со значения « require if certificate indicates на « Best attempt или « off , проблемы исчезли.

Похоже, что некоторые сертификаты CA в «System Root» истекли.

Итак, у нас есть два варианта:

1. оставьте CRL как лучшую попытку (не уверен, насколько это ослабит безопасность системы)
2. удалите корневые сертификаты системы с истекшим сроком действия, выполнив следующие меры безопасности: SecKeychainItemDelete: UNIX [Операция не разрешена] в OS X при попытке удалить сертификат с истекшим сроком действия корневого каталога системы.