As quebras de atualização do Mac OS X Lion 10.7.2 SSL

Question

As quebras de atualização do Mac OS X Lion 10.7.2 SSL

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (1 votos)
#7 resposta do (0 votos)
#8 resposta do (0 votos)
#9 resposta do (0 votos)

14

Resumo

Após a atualização da 10.7.1 para a 10.7.2, nem o Safari nem o Google Chrome podem carregar o Gmail. Bolas de praia girando ao redor.

O problema não é o GMail; O Firefox carrega o GMail bem.

O problema não está limitado ao Safari ou ao Google Chrome; Outros aplicativos também têm problemas com SSL: Gilgamesh e Safari. Qualquer programa que use o WebKit (Google Chrome, Safari) ou uma biblioteca do Cocoa (Gilgamesh) para acessar a Internet tem problemas para carregar sites seguros.

Os vários fóruns on-line sugerem um punhado de correções, nenhuma das quais funciona.

Análise

Corrigir # 1: Abra o Keychain Access.app e exclua o certificado desconhecido.

A atualização 10.7.2 também impede o carregamento do Acesso às Chaves. O próprio programa de chaves girando Beachballs.

Corrigir # 2: Excluir ~ / Library / Keychains / login.keychain e /Library/Keychains/System.keychain.

Isso resolve temporariamente o problema e permite que você carregue sites seguros, mas um ou dois minutos após a reinicialização ou a hibernação de alguma forma desfazem a correção magicamente, por isso você precisa excluir esses arquivos várias vezes.

Corrigir # 3: Excluir ~ / Library / Application \ Support / Mob * e / Library / Application \ Support / Mob *.

Há um boato de que o novo serviço do MobileMe / iCloud está causando o problema. Esta correção não resolve o problema.

Corrigir # 4: Abra o Acesso às Chaves, abra as Preferências e desative OCSP e CRL.

Esta correção não resolve o problema.

Corrigir # 5: use o 10.7.0 - > 10.7.2 instalador combinado, em vez de 10.7.1 - > 10.7.2 instalador.

Quando eu executo o instalador combinado , ele permanece para sempre na tela "Validando Pacotes ...". O próprio instalador de combinação está com um bug para Ele ||.

Euforceioinstaladorasair,executei"sudo killall installd" para forçar a saída do processo de instalação em segundo plano e executar novamente o instalador de combinação.

O mesmo problema: ele fica parado em "Validing Packages ..."

Recapitular

A única correção que funciona é a exclusão das chaves, mas você precisa fazer isso toda vez que reiniciar ou sair do modo de hibernação. Há algumas evidências de que o ubd corrompe continuamente os arquivos keychain, mas a correção ubd sugerida de excluir ~ / Library / Application \ Support / Mob * e / Library / Application \ Support / Mob * não resolve esse problema.

Evidentemente, algo está corrompendo as chaves várias vezes.

Também publicadas nas Comunidades de Suporte da Apple .

ssl mac https osx-lion

por mcandre 24.10.2011 / 00:19

9 respostas

Tags ssl mac https osx-lion

É seguro armazenar uma bateria no freezer? Como cancelar a navegação Ctrl + Tab?

score 2 · Answer 1

Nossa pessoa de suporte do Mac teve sucesso ao executar o DiskWarrior para corrigir o problema. Nenhum de seus clientes relatou o problema até agora.

ATUALIZAÇÃO:

Eu descobri uma correção. O problema está acontecendo porque o portal cativo responde a TUDO. Eu ajustei o DNS do portal cativo para dar resultados ruins para sites OCSP e CRL. Eu usei 127.0.0.1 neste caso. Os pedidos agora esgotam o tempo limite, em vez de retornar dados incorretos. Ele também funciona localmente alterando "/ private / etc / hosts" e adicionando entradas como esta:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

As entradas corretas podem depender da CA para o certificado. Eu encontrei esses endereços enquanto assistia a conexão usando o Wireshark.

score 2 · Answer 2

Posso adicionar que o MobileMe agora é o iCloud, portanto, a pasta não é compatível com aplicativos / Mobi *, mas sim com suporte a aplicativos / Ubiquity.

Exclua isso, embora eu tenha resultados mistos. Só funcionou 1/3 vezes. A maneira que definitivamente funciona é excluir:

~ / Biblioteca / Chaveiros / login.keychain e /Library/Keychains/System.keychain

Apenas enxague e repita. Eu não estou completamente certo quando o Keychain Access vai quebrar, mas em algum momento (normalmente cerca de 3 dias para mim) tudo pára de funcionar.

O Firefox parece contornar as coisas e, se você não quiser fazer nada, pode desativar o OCSP no Firefox (about: config) apenas para acessar o portal sem fio e, em seguida, lembre-se de ativá-lo novamente . Isso não corrigirá o Safari ou o Chrome (qual é a palavra no Opera?)

Mas a melhor solução é restaurar para 10.7.1 ou 10.7. Eu aconteceu de ter o arquivo DMG de mais cedo e era 10.7.1. Fazer uma "reinstalação" apenas copia os arquivos do sistema Lion e mantém toda a sua instalação em forma. Então você está realmente apenas reinstalando o sistema operacional, mas mantendo todos os seus aplicativos e dados. Até agora isso foi perfeito. Apenas lembre-se de não atualizar para o 10.7.2 se você for reverter.

score 1 · Answer 3

Desativar as verificações de OCSP e CRL é uma idéia muito ruim. Essencialmente, você está dizendo que não se importa com a revogação de certificados. Isso não é bom, dado o número de autoridades de certificação sendo hackeadas nos dias de hoje. É por isso que a Apple atualizou sua segurança para portais cativos. O problema está na própria conexão do portal cativo. Se você for para um, você não pode verificar por CRL ou OCSP porque (duh!) Você está no portal cativo. Quem fornece esse portal também deve fazer furos em seu firewall para permitir que você, a partir do portal cativo, verifique os certificados que a página do portal cativo https está fornecendo. Tivemos que fazer isso em nosso sistema sem fio corporativo antes que o Lion pudesse chegar a algum lugar.

score 1 · Answer 4

Após semanas de frustração com esse problema constantemente recorrente (e esperando a Apple liberar uma correção), decidi procurar por qualquer solução que fosse revertida da atualização 10.7.2. Infelizmente não encontrei nenhuma maneira de reverter para 10.7.1 ou 10.7.0.

Por isso, decidi usar o Lion Recovery e ver como isso afeta a situação. Realizei o procedimento de recuperação seguindo as etapas descritas neste artigo de suporte da Apple .

Estou feliz em informar agora que no meu caso, o problema desapareceu (espero)! Por alguma razão, embora o processo Lion Recovery tenha reinstalado o OS X na versão 10.7.2, não tive problemas com o Keychain ou o SSL por mais de uma semana.

Eu usei o modo de recuperação online e parece que a versão do OS X que é baixada durante o processo de recuperação tem algum tipo de configuração que não corrompe as chaves. O processo de recuperação do Lion foi super suave e eu não precisei reinstalar nenhum aplicativo nem recuperar arquivos do backup (eu ainda recomendaria fazer backups). Meu MacBook Pro é a versão 5,1.

Esta é a primeira vez para mim que a atualização de segurança da Apple quebrou o OS X de maneira tão grande. Ainda me pergunto por que eles não lançaram uma correção / atualização para corrigir esse problema.

score 1 · Answer 5

(YMMV mas funcionou para mim) - eu desativei a rede, reiniciei para matar o problema de chaveiro ou então ele congela o acesso de chaveiro, não há necessidade de excluir nada. Então, eu desativei o OCSP e CRL. Ativei a rede ... conectei-me ao meu portal cativo e reativei tudo.

O problema é que o portal cativo requer um certificado, mas bloqueia a cadeia de certificados. Obrigado pelo outro sugerindo isso.

score 1 · Answer 6

Na minha experiência, isso acontece apenas quando se conecta por trás de um portal cativo. Eu acho que o motivo é que o sistema operacional tenta validar o certificado da página de login do portal cativo, mas o processo de validação requer acesso à Internet. Consegui corrigir esse problema adicionando manualmente o certificado da página do portal cativo ao keychain e marcando-o como sempre confiável.

Você pode exportar o certificado com as seguintes etapas:

Visite a página do portal cativo no Firefox
Selecione Tools > Page Info > Security > View Certificate > Details > Export
Salve o certificado em seu disco rígido com a extensão ".crt"

Você pode importar o certificado com as seguintes etapas:

Abrir Keychain Access.app
Arraste o certificado do Finder para um chaveiro
Clique duas vezes no certificado e expanda a seção "Confiança"
Escolha "Ao usar este certificado: Always Trust "
Feche a janela pop-up

Se você não conseguir abrir o Acesso às Chaves porque as suas chaves estão corrompidas, desative a conexão sem fio, exclua ~/Library/Keychains/login.keychain e /Library/Keychains/System.keychain e depois reinicialize.

score 0 · Answer 7

Eu encontrei o problema. É causado pela correção de segurança no 10.7.2 (Security Captive Portal Hijacking). É provável que uma das redes às quais você está conectado tenha um site de portal, onde você pode inserir dados de login ... para mim, era a rede WiFi.

Para resolver esse problema por enquanto, desative todas as redes, reinicialize, inicie o keychain, vá para as preferências, certificados, desative OCSP e CRL. Reinicie, ative suas redes e lá vai você ...

score 0 · Answer 8

Eu consegui fazer "correção nº 2" como acima.

No terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

e, em seguida, reinicie.

score 0 · Answer 9

0

Uma sugestão no final do link parece indicar que o procedimento a seguir corrige o problema: link

por 17.01.2012 / 00:31