L'aggiornamento Lion OS 10.7.2 di Mac OS X interrompe SSL

Sommario

Dopo l'aggiornamento dal 10.7.1 al 10.7.2, né Safari né Google Chrome possono caricare GMail. Beachball rotanti ovunque.

Il problema non è GMail; Firefox carica GMail bene.

Il problema non è limitato a Safari o Google Chrome; Altre applicazioni hanno anche problemi con SSL: Gilgamesh e Safari. Qualsiasi programma che utilizza WebKit (Google Chrome, Safari) o una libreria Cocoa (Gilgamesh) per accedere a Internet ha difficoltà a caricare siti sicuri.

I vari forum online suggeriscono una manciata di correzioni, nessuna delle quali funziona.

Analisi

Correzione n. 1: apri Keychain Access.app ed elimina il certificato sconosciuto.

L'aggiornamento 10.7.2 impedisce inoltre il caricamento dell'accesso portachiavi. Il programma Keychain stesso Spinning Beachballs.

Correzione n. 2: Elimina ~ / Library / Keychains / login.keychain e /Library/Keychains/System.keychain.

Ciò risolve temporaneamente il problema e consente di caricare siti sicuri, ma un minuto o due dopo il riavvio o l'ibernazione in qualche modo annullano magicamente la correzione, quindi è necessario eliminare questi file più e più volte.

Correzione n. 3: Elimina ~ / Libreria / Applicazione \ Supporto / Mob * e / Libreria / Applicazione \ Supporto / Mob *.

Si dice che il nuovo servizio MobileMe / iCloud ubd stia causando il problema. Questa correzione non risolve il problema.

Correzione n. 4: Apri Accesso portachiavi, apri le Preferenze e disabilita OCSP e CRL.

Questa correzione non risolve il problema.

Correzione n. 5: utilizzare il programma di installazione combo 10.7.0 -> 10.7.2, anziché il programma di installazione 10.7.1 -> 10.7.2.

Quando eseguo il programma di installazione combo , rimane per sempre nella schermata "Convalida pacchetti ...". Lo stesso programma di installazione combo è infastidito da He ||.

Ho forzato l'uscita dal programma di installazione, ho eseguito "sudo killall installd" per forzare la chiusura del processo di installazione in background e rieseguire il programma di installazione combo.

Stesso problema: si blocca in "Convalida dei pacchetti ..."

Ricapitolare

L'unica correzione che funziona è l'eliminazione dei portachiavi, ma devi farlo ogni volta che riavvii o ti svegli dalla modalità di sospensione. Ci sono alcune prove che ubd corrompa continuamente i file portachiavi, ma la soluzione suggerita ubd di eliminare ~ / Library / Application \ Support / Mob * e / Library / Application \ Support / Mob * non risolve questo problema.

Evidentemente, qualcosa sta corrompendo il portachiavi ancora e ancora e ancora.

Pubblicato anche nelle community di supporto Apple .

Il nostro supporto tecnico Mac ha avuto successo con DiskWarrior per risolvere il problema. Finora nessuno dei suoi clienti ha segnalato il problema.

AGGIORNARE:

Ho capito una soluzione. Il problema si verifica perché il portale captive risponde a TUTTO. Ho modificato il DNS del portale captive per fornire risultati negativi per i siti OCSP e CRL. Ho usato 127.0.0.1 in questo caso. Le richieste ora scadono invece di restituire dati errati. Funziona anche localmente modificando "/ private / etc / hosts" e aggiungendo voci come questa:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Le voci corrette possono dipendere dalla CA per il certificato. Ho trovato questi indirizzi mentre guardavo la connessione usando Wireshark.

Potrei aggiungere che MobileMe ora è iCloud, quindi la cartella non è Application Support / Mobi *, ma piuttosto Application Support / Ubiquity.

Eliminalo, anche se ho avuto risultati contrastanti. Ha funzionato solo 1/3 volte. Il modo in cui funziona sicuramente sta eliminando:

~ / Library / Keychains / login.keychain e /Library/Keychains/System.keychain

Basta sciacquare e ripetere. Non sono completamente sicuro quando si interromperà l'accesso al portachiavi, ma ad un certo punto (in genere circa 3 giorni entro per me) tutto smette di funzionare.

Firefox sembra aggirare le cose e se non vuoi fare nulla, puoi disattivare OCSP in Firefox (about: config) solo per accedere al tuo portale wireless e poi ricordarti di riaccenderlo. Questo non risolverà Safari o Chrome (qual è la parola su Opera?)

Ma la soluzione migliore è ripristinare su 10.7.1 o 10.7. Mi è capitato di avere il file DMG da prima ed era il 10.7.1. Fare una "reinstallazione" copia solo i file di sistema Lion e mantiene in forma l'intera installazione. Quindi stai davvero reinstallando il sistema operativo ma conservando TUTTE le tue app e i tuoi dati. Finora questo è stato perfetto. Ricorda di non aggiornare a 10.7.2 se desideri tornare indietro.

Disattivare i controlli OCSP e CRL è una pessima idea. In sostanza stai dicendo che non ti interessa la revoca del certificato. Questo non va bene dato il numero di autorità di certificazione che vengono hackerate in questi giorni. Ecco perché Apple ha aggiornato la sua sicurezza per i portali captive. Il problema è nella stessa connessione al portale captive. Se vai a uno, non puoi controllare CRL o OCSP perché (duh!) Ti trovi nel portale captive. Chiunque fornisca questo portale, deve anche creare buchi nel proprio firewall per consentire all'utente di uscire dal portale captive per verificare i certificati forniti dalla pagina del portale captive https. Abbiamo dovuto farlo sul nostro sistema wireless aziendale prima che Lion potesse arrivare ovunque.

Dopo settimane di frustrazione per questo problema costantemente ricorrente (e in attesa che Apple rilasci una soluzione), ho deciso di cercare qualsiasi soluzione che potesse tornare dall'aggiornamento 10.7.2. Sfortunatamente non ho trovato alcun modo per eseguire il rollback a 10.7.1 o 10.7.0.

Ho quindi deciso di utilizzare Lion Recovery e vedere come influenza la situazione. Ho eseguito la procedura di recupero seguendo i passaggi descritti in questo articolo di supporto Apple .

Sono felice di informare ora che nel mio caso il problema è (si spera) scomparso! Per qualche motivo, anche se il processo di recupero del leone ha reinstallato OS X alla versione 10.7.2, non ho avuto problemi con Keychain o SSL da oltre una settimana.

Ho usato la modalità di recupero online e sembra che la versione di OS X scaricata durante il processo di recupero abbia una sorta di installazione che non corrompe il portachiavi. Il processo di recupero del leone è stato estremamente semplice e non ho dovuto reinstallare alcuna app o ripristinare i file dal backup (consiglierei comunque di eseguire i backup). Il mio MacBook Pro è la versione 5,1.

Questa è la prima volta per me che l'aggiornamento di sicurezza di Apple ha rotto OS X in modo così grande. Mi chiedo ancora perché non abbiano rilasciato una correzione / aggiornamento per correggere questo problema.

(YMMV ma ha funzionato per me) - Ho disattivato la rete, riavviato per eliminare il problema del portachiavi oppure blocca l'accesso al portachiavi, non è necessario eliminare nulla. Quindi, ho disattivato OCSP e CRL. Ho attivato la rete ... Mi sono connesso al mio portale captive e poi ho riattivato tutto.

Il problema è che il portale captive richiede un certificato, ma blocca la catena di certificati. Grazie per l'altro che ha suggerito questo.

Nella mia esperienza, ciò accade solo quando ci si connette dietro un portale captive. Penso che il motivo sia che il sistema operativo tenta di convalidare il certificato della pagina di accesso del portale captive, ma il processo di convalida richiede l'accesso a Internet. Sono stato in grado di risolvere questo problema aggiungendo manualmente il certificato della pagina del portale captive al portachiavi e contrassegnandolo come sempre attendibile.

È possibile esportare il certificato con i seguenti passaggi:

1. Visita la pagina del captive portal in Firefox
2. Selezionare Tools > Page Info > Security > View Certificate > Details > Export
3. Salvare il certificato sul disco rigido con l'estensione ".crt"

È possibile importare il certificato con i seguenti passaggi:

1. Aperto Keychain Access.app
2. Trascina il certificato dal Finder in un portachiavi
3. Fare doppio clic sul certificato ed espandere la sezione "Affidabilità"
4. Scegli "Quando si utilizza questo certificato: Always Trust"
5. Chiudi la finestra popup

Se non riesci ad aprire Keychain Access perché il tuo portachiavi è danneggiato, disattiva wireless, elimina ~/Library/Keychains/login.keychaine /Library/Keychains/System.keychain, quindi riavvia.

Ho trovato il problema. È causato dalla correzione di sicurezza in 10.7.2 (Security Captive Portal Hijacking). È probabile che una delle reti a cui sei connesso abbia un sito portale, dove puoi inserire i dati di accesso ... per me era la rete WiFi.

Per risolvere questo problema per ora, disattivare tutte le reti, riavviare, avviare il portachiavi, andare su preferenze, certificati, disattivare OCSP e CRL. Riavvia, attiva le tue reti e il gioco è fatto ...

Ci sono riuscito facendo "correzione # 2" come sopra.

Nel terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

e quindi riavviare.

Un suggerimento alla fine di https://discussions.apple.com/thread/3430739?start=0&tstart=0 sembra indicare che la seguente procedura risolve il problema: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html