42 votos

Hendy avatar

¿Cómo saber por qué macOS piensa que un certificado está revocado?

Preguntado el 13 de Octubre, 2016
Cuando se hizo la pregunta
5611 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

No puedo acceder a Wikipedia en ninguno de mis Macs. macOS dice que el certificado intermedio utilizado para firmar el certificado de Wikipedia (GlobalSign Organization Validation CA - SHA256 - G2) ha sido revocado.

introducir descripción de la imagen aquí

No creo que el certificado en cuestión haya sido revocado, así que comprobé manualmente el Servicio de Listas de Revocación (CRL) y OCSP de GlobalSign y ambos me dicen que el certificado está bien.

¿Existen otras fuentes de listas de revocación (CRL) que macOS pueda potencialmente utilizar? ¿Existe alguna forma de solicitar al Marco de Seguridad que me diga exactamente qué está mal con el certificado según su opinión?

Preguntado el 13 de Octubre, 2016 por Hendy

0 votos

Avatar de Marbella Escapes

También viendo esto para wikipedia / maxcdn / ...

Comentado el 13 de Octubre, 2016 por Marbella Escapes

1 votos

Avatar de luweiqi

También me ha pasado esto en mi Mac (Sierra) al visitar Wikipedia. Sin embargo, sí funciona en mi dispositivo iOS.

Comentado el 13 de Octubre, 2016 por luweiqi

1 votos

Avatar de pietrodn

Wikipedia está implementando en todos los sitios un nuevo certificado que no se ve afectado por problemas, en este momento: phabricator.wikimedia.org/T148045

Comentado el 13 de Octubre, 2016 por pietrodn
Mostrar 2 comentarios más

Respuestas

¿Demasiados anuncios?

40voto

Michal Sznajder avatar
Michal Sznajder Puntos 6292

Intenté crlrefresh rp y también eliminé manualmente la caché de OCSP con sudo rm /var/db/crls/*cache.db como documentado por GlobalSign.

Sin embargo, la caché parece estar en una ubicación diferente en macOS 10.12 Sierra. El siguiente comando funcionó para mí y resolvió el problema:

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

También intenté eliminar toda la base de datos, pero no parece regresar automáticamente.

Si no estás seguro, es mejor restaurar ~/Library/Keychains/*/ocspcache.sqlite3* (incluyendo -shm y -wal) desde una copia de seguridad antes de que los servidores de OCSP comenzaran a dar respuestas incorrectas, por ejemplo, desde ayer.

Respondido el 13 de Octubre, 2016 por Michal Sznajder (6292 Puntos )

3 votos

Avatar de Rich Bennema

Estoy usando macOS Sierra, y este comando sqlite también solucionó el problema para mí. No necesité cerrar sesión ni siquiera salir del navegador. Sí hice una copia de seguridad de ocspcache.sqlite3 primero.

Comentado el 13 de Octubre, 2016 por Rich Bennema

1 votos

Avatar de benr

Esto resolvió el problema de Wikipedia en Safari, pero Chrome todavía me bloquea.

Comentado el 13 de Octubre, 2016 por benr

0 votos

Avatar de Rich Bennema

El problema parece resurgir ocasionalmente, pero volver a ejecutar ese comando lo soluciona nuevamente.

Comentado el 13 de Octubre, 2016 por Rich Bennema
Mostrar 5 comentarios más

19voto

Michael Hansen avatar
Michael Hansen Puntos 151

Puede ser esto, parece que GlobalSign tiene un problema con su OCSP. Esto se toma de su Twitter (https://twitter.com/globalsign/status/786505261842247680?lang=da)

Actualmente estamos experimentando problemas con nuestro OCSP que está causando mensajes de advertencia de certificados. Esperamos solucionar esto lo antes posible.

Y también

ACTUALIZACIÓN: Si eres un usuario de MAC, por favor borra tu caché con crlrefresh rp

o Ver y/o Borrar Caché de CRL, OCSP

Respondido el 13 de Octubre, 2016 por Michael Hansen (151 Puntos )

1 votos

Avatar de Hendy

De hecho, ya he probado crlrefresh rp y no parece ayudar. De todas formas, lo que estoy buscando es una forma de persuadir a macOS para que me diga la razón exacta por la que cree que el certificado es malo (ya sea OCSP u otra cosa).

Comentado el 13 de Octubre, 2016 por Hendy

0 votos

Avatar de Andre M

¿El impacto probablemente dependerá de si se han resuelto los problemas aguas arribas?

Comentado el 13 de Octubre, 2016 por Andre M

0 votos

Avatar de kpax

Limpiar la caché no resolvió el problema para mí, pero al menos tengo una atribución para el problema.

Comentado el 13 de Octubre, 2016 por kpax
Mostrar 1 comentarios más

0voto

DawTaylor avatar
DawTaylor Puntos 1

Intenté la instrucción proporcionada por Global Sign, pero realmente no me ayudó.

sudo rm /var/db/crls/*cache.db En realidad no ayudó porque hay otro archivo de caché crlcache2.db que no cumplía con el criterio de *cache.db.

Mi solución fue también eliminar este archivo y luego reiniciar.

sudo rm /var/db/crls/crlcache2.db

Creo que es seguro sudo rm /var/db/crls/* porque la carpeta solo contiene archivos de caché. Pero si decides hacerlo, hazlo bajo tu propio riesgo.

Respondido el 14 de Octubre, 2016 por DawTaylor (1 Puntos )

-1voto

Eric Towers avatar
Eric Towers Puntos 101

La pregunta literalmente es "¿Existe alguna forma de pedirle al Marco de Seguridad que me diga exactamente qué es lo que está mal con el certificado en su opinión?" Pero esto es literalmente lo que está haciendo el Marco de Seguridad.

MacOS cree que el certificado fue revocado porque un certificado intermedio en su cadena de confianza fue revocado (inadvertidamente). Consulta GlobalSign screw-up cancels top websites' HTTPS certificates.

El mensaje de error que estás viendo te está diciendo exactamente qué certificado intermedio fue revocado. ¿Qué más te gustaría saber?

Respondido el 15 de Octubre, 2016 por Eric Towers (101 Puntos )

-3voto

Simon avatar
Simon Puntos 3

La otra opción es ir a un sitio que nunca uses que utiliza globalsign, por ejemplo (para cualquier persona que hable inglés) https://it.wikipedia.org (wikipedia italiana) y cuando aparezca diciendo certificado inválido, confía explícitamente en el certificado de globalsign hasta que se solucione correctamente este problema.

Respondido el 13 de Octubre, 2016 por Simon (3 Puntos )

3 votos

Avatar de eric.a.booth

Esta es una mala idea, en mi opinión. Siempre tomo las advertencias de certificado muy en serio y no continúo. ¿Qué pasa si el OP estaba siendo MITM y simplemente hizo clic ciegamente en esa advertencia?

Comentado el 14 de Octubre, 2016 por eric.a.booth

1 votos

Avatar de teddy

Por favor, no hagas esto. Si ese certificado alguna vez es revocado por razones importantes, entonces tu sistema ignorará esa revocación hasta que elimines la confianza explícita. Limpiar la caché de OCSP es una forma mucho más efectiva y segura de resolver este problema.

Comentado el 14 de Octubre, 2016 por teddy

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X