Обновление Mac OS X Lion 10.7.2 нарушает SSL

Question

Резюме

После обновления с 10.7.1 до 10.7.2 ни Safari, ни Google Chrome не могут загрузить GMail. Вокруг вращаются пляжные мячи.

Проблема не в GMail; Firefox прекрасно загружает GMail.

Проблема не ограничивается Safari или Google Chrome; Другие приложения также имеют проблемы с SSL: Gilgamesh и Safari. Любая программа, которая использует WebKit (Google Chrome, Safari) или библиотеку Какао (Gilgamesh) для доступа к Интернету, имеет проблемы с загрузкой защищенных сайтов.

Различные форумы онлайн предлагают несколько исправлений, ни один из которых не работает.

Анализ

Исправление № 1: Откройте Keychain Access.app и удалите неизвестный сертификат.

Обновление 10.7.2 также запрещает загрузку Keychain Access. Сама программа Keychain Spinning Beachballs.

Исправление № 2: Удалить ~/Library/Keychains/login.keychain и /Library/Keychains/System.keychain.

Это временно решает проблему и позволяет загружать защищенные сайты, но через минуту или две после перезагрузки или гибернации каким-то волшебным образом отменяет исправление, поэтому вы должны удалять эти файлы снова и снова.

Исправление № 3: Удалить ~/Library/Application\ Support/Mob * и /Library/Application\ Support/Mob *.

Ходят слухи, что причиной этого является новая служба MobileMe/iCloud ubd. Это исправление не решает проблему.

Исправление № 4: Откройте доступ к связке ключей, откройте настройки и отключите OCSP и CRL.

Это исправление не решает проблему.

Исправление № 5: Используйте комбинированный установщик 10.7.0 -> 10.7.2, а не 10.7.1 -> 10.7.2.

Когда я запускаю комбо-инсталлятор, он всегда остается на экране «Проверка пакетов ...». Сам комбо-инсталлятор прослушивается He ||.

Я принудительно завершаю установку, запускаю "sudo killall installd", чтобы принудительно завершить фоновый процесс установки, и снова запускаю комбинированный установщик.

Та же проблема: он останавливается на "Validing Packages ..."

резюмировать

Единственное исправление, которое работает, - это удаление цепочек для ключей, но вы должны делать это каждый раз, когда вы перезагружаетесь или выходите из спящего режима. Есть некоторые свидетельства того, что ubd постоянно портит файлы цепочки для ключей, но предлагаемое исправление ubd удаления ~/Library/Application\ Support/Mob * и /Library/Application\ Support/Mob * не решает эту проблему.

Очевидно, что-то портит связку ключей снова и снова и снова.

Также опубликовано в сообществах поддержки Apple.

Answer 1

Наш специалист по поддержке Mac успешно запустил DiskWarrior, чтобы решить эту проблему. Ни один из его клиентов не сообщил о появлении проблемы до сих пор.

ОБНОВИТЬ:

Я понял, как исправить. Проблема возникает из-за того, что портал авторизации отвечает на ВСЕ. Я настроил DNS портала, чтобы он дал плохие результаты для сайтов OCSP и CRL. Я использовал 127.0.0.1 в этом случае. Время ожидания запросов истекло, вместо того, чтобы возвращать неверные данные. Он также работает локально, изменив "/private/etc/hosts" и добавив записи вроде этого:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Правильные записи могут зависеть от CA для сертификата. Я нашел эти адреса во время просмотра соединения с помощью Wireshark.

Answer 2

Могу добавить, что MobileMe теперь является iCloud, поэтому папка не является Application Support/Mobi *, а скорее Application Support/Ubiquity.

Удалите это, хотя у меня были смешанные результаты. Это работало только 1/3 раза. Способ, который определенно работает, удаляет:

~/ Библиотека / Связки ключей / login.keychain и /Library/Keychains/System.keychain

Просто промыть и повторить. Я не совсем уверен, когда Keychain Access сломается, но в какой-то момент (обычно около 3 дней для меня) все перестает работать.

Похоже, что Firefox обходит все вокруг, и если вы вообще ничего не хотите делать, вы можете отключить OCSP в Firefox (about:config) просто для входа в свой беспроводной портал, а затем не забудьте включить его снова. Это не исправит Safari или Chrome (что за слово в Opera?)

Но лучшее решение - восстановить до 10.7.1 или 10.7. У меня был файл DMG от ранее, и это было 10.7.1. Выполнение "переустановки" только копирует ваши системные файлы Lion и сохраняет всю вашу установку в форме. Таким образом, вы действительно просто переустанавливаете ОС, но сохраняете ВСЕ свои приложения и данные. Пока это было прекрасно. Просто помните, чтобы не обновлять до 10.7.2, если вы собираетесь откатиться.

Answer 3

По моему опыту, это происходит только при подключении через портал. Я думаю, что причина в том, что операционная система пытается проверить сертификат страницы входа в портал, но процесс проверки требует доступа в Интернет. Мне удалось решить эту проблему, вручную добавив сертификат цепной страницы портала в цепочку для ключей и пометив его как всегда доверительный.

Вы можете экспортировать сертификат, выполнив следующие действия:

1. Посетите страницу портала в Firefox
2. Выберите Tools > Page Info > Security > View Certificate > Details > Export
3. Сохраните сертификат на жестком диске с расширением «.crt».

Вы можете импортировать сертификат, выполнив следующие действия:

1. Открыть Keychain Access.app
2. Перетащите сертификат из Finder в связку ключей
3. Дважды щелкните сертификат и разверните раздел "Доверие".
4. Выберите «При использовании этого сертификата: Always Trust »
5. Закройте всплывающее окно

Если вы не можете открыть Keychain Access, потому что ваша цепочка для ключей повреждена, отключите беспроводную связь, удалите ~/Library/Keychains/login.keychain и /Library/Keychains/System.keychain , а затем перезагрузите компьютер.

Answer 4

(YMMV, но у меня это сработало) - Я деактивировал сеть, перезагрузился, чтобы убить проблему с цепочкой для ключей, или она заблокировала доступ к цепочке для ключей, не нужно ничего удалять. Затем я деактивировал OCSP и CRL. Я активировал сеть ... Я подключился к своему пленному порталу, а затем снова активировал все.

Проблема заключается в том, что пленный портал требует сертификатов, но блокирует цепочку сертификатов. Спасибо за другого, который предлагает это.

Answer 5

Отключение проверок OCSP и CRL - очень плохая идея. По сути, вы говорите, что вас не волнует отзыв сертификатов. Это не хорошо, учитывая количество взломанных центров сертификации в эти дни. Именно поэтому компания Apple модернизировала свою безопасность для плененных порталов. Проблема в самом подключении к порталу. Если вы идете к одному, вы не можете проверить CRL или OCSP, потому что (дух!) Вы находитесь в плену портала. Кто бы ни предоставлял этот портал, он также должен проделать дыры в своем брандмауэре, чтобы вы могли выйти из неавторизованного портала и проверить сертификаты, которые предоставляет вам страница неавтоматизированного портала https. Мы должны были сделать это в нашей корпоративной беспроводной системе, прежде чем Lion смог добраться куда угодно.

Answer 6

После нескольких недель разочарования по поводу этой постоянно повторяющейся проблемы (и ожидания, пока Apple выпустит исправление), я решил поискать любое решение, которое откатилось бы после обновления 10.7.2. К сожалению, я не нашел способа сделать откат до 10.7.1 или 10.7.0.

Поэтому я решил использовать Lion Recovery и посмотреть, как это повлияет на ситуацию. Я выполнил процедуру восстановления, выполнив действия, описанные в этой статье поддержки Apple.

Я рад сообщить, что в моем случае проблема (надеюсь) исчезла! По какой-то причине, даже несмотря на то, что процесс восстановления Lion переустанавливал OS X до версии 10.7.2, у меня не было проблем с Keychain или SSL уже более недели.

Я использовал режим онлайн-восстановления, и кажется, что версия OS X, загружаемая в процессе восстановления, имеет какую-то настройку, которая не повреждает связку ключей. Процесс восстановления Lion был очень плавным, и мне не нужно было переустанавливать какие-либо приложения или восстанавливать файлы из резервной копии (я все равно рекомендовал бы делать резервные копии). Мой MacBook Pro - версия 5,1.

Для меня это первый раз, когда обновление безопасности Apple так сильно сломало OS X. Мне все еще интересно, почему они не выпустили исправление / обновление, чтобы исправить эту проблему.

Answer 7

Предложение в конце https://discussions.apple.com/thread/3430739?start=0&tstart=0, по- видимому, указывает на то, что следующая процедура решает проблему: http://www.macworld.com/article/163227/2011/10/fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html

Answer 8

Мне удалось сделать "исправить # 2", как указано выше.

В терминале:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

и затем перезагрузите компьютер.

Answer 9

Я нашел проблему. Это вызвано исправлением безопасности в 10.7.2 (Перехват портала безопасности). Вполне вероятно, что в одной из сетей, к которой вы подключены, есть сайт портала, где вы можете вводить данные для входа ... для меня это была сеть WiFi.

Чтобы решить эту проблему, отключите все сети, перезагрузите компьютер, запустите связку ключей, перейдите к настройкам, сертификатам, отключите OCSP и CRL. Перезагрузитесь, активируйте свои сети, и вот вы ...