Warum vertraut OS X nicht auf das SSL-Zertifikat von GitHub?

48869
Trevor Dixon

Wenn ich zu einer beliebigen github.com-Seite in Chrome gehe, erhalte ich einen großen hässlichen Fehler:

Sie haben versucht, github.com zu erreichen, aber der Server hat ein Zertifikat vorgelegt, das von einer Entität ausgestellt wurde, der das Betriebssystem Ihres Computers nicht vertraut. Dies kann bedeuten, dass der Server seine eigenen Sicherheitsberechtigungsnachweise generiert hat, auf die sich Chrome bei der Identitätsinformation nicht verlassen kann, oder dass ein Angreifer versucht, Ihre Kommunikation abzufangen.

Sie können nicht fortfahren, da der Websitebetreiber eine erhöhte Sicherheit für diese Domain angefordert hat.

Das gleiche passiert (in Chrome und mit curl), wenn ich auch auf https://www.digicert.com/ gehe . Dieses seltsame Problem begann vor etwa eineinhalb Wochen.

Wenn ich auf das abgebrochene Schlosssymbol in der Adressleiste klicke, sehe ich Folgendes:

GitHub.com is broken GitHub.com Certificate Information

Aber gist.github.com funktioniert gut:

Gist.GitHub.com works Gist.GitHub.com Certificate Information

Es funktioniert auch nicht mit curl:

It doesn't work with curl

In Firefox funktioniert alles gut.

Wie kann ich mein Problem mit der Stammzertifizierungsstelle beheben?

So sieht es in Firefox aus:

enter image description here enter image description here

Aktualisieren:

Ich habe festgestellt, dass das erste Zertifikat in der Kette in meinem gebrochenen Chrome / Safari anders ist als in meinem anderen Computer.

enter image description here enter image description here

(Es gibt kein fieses rotes X mehr, weil ich es in Safari vertraut habe.) Sehen Sie, wie die Emittenten unterschiedlich sind? Was kann ich daraus machen?

66
Es gibt einen Unterschied zwischen * .github.com und github.com. Welchen Browser verwenden Sie? Ramhound vor 11 Jahren 0
Chrom. Es ist in Chrome defekt, funktioniert aber in Firefox. Es funktioniert nicht mit Locken. Trevor Dixon vor 11 Jahren 0
Können Sie die Firefox-Informationen posten, die zeigen, dass das Zertifikat fehlerfrei ist? Ramhound vor 11 Jahren 0
Firefox-Bilder unten hinzugefügt. Trevor Dixon vor 11 Jahren 0
Gleiches Problem mit https://digicert.com/ selbst. Trevor Dixon vor 11 Jahren 0
https://code.google.com/p/chromium/issues/detail?id=90459 Horn OK Please vor 11 Jahren 0
@Allquixotic ist gut, aber ich denke nicht, dass es dasselbe ist. Ich bekomme einen anderen Fehler und die Tatsache, dass es nicht mit curl oder git funktioniert, lässt mich auch denken, dass es ein Problem auf Betriebssystemebene ist. Trevor Dixon vor 11 Jahren 0
@allquixotic Geben Sie das als in die Antwort unten ein, nur wenn jemand anderes a-searchin geht. sparticvs vor 11 Jahren 0
@TrevorDixon - Haben Sie versucht, Ihren SSL-Speicher (oder wie auch immer der in OS X bezeichnete) zu löschen? Möglicherweise haben Sie einen alten Cache gegen ein in diesem Artikel beschriebenes Zertifizierungsproblem ausgeführt der aktuelle Build). Ramhound vor 11 Jahren 0
Ich habe meiner Frage ein Update hinzugefügt. Was ist damit? Warum unterscheidet sich der Aussteller auf meinem defekten Computer? @ Ramhound Trevor Dixon vor 11 Jahren 0
@TrevorDixon - Haben Sie versucht, den SSL-Store auf dem System zu löschen. Ich stelle fest, dass es sich um ein CA-1 und das andere (gültige) Zertifikat um CA-3 handelt. Wenn ich mich nicht irre, verwendet Firefox nicht den SSL-Speicher des Betriebssystems, sondern der eigene und Chrome den SSL-Speicher des Betriebssystems. Natürlich verwendet Safari auch OS X SSL Store. Ramhound vor 11 Jahren 0
Ich habe das aufgestoßen, weil es gerade meinem Kollegen passiert ist, als er heute ins Büro kam. Es hat gestern für ihn funktioniert, und heute hat er den Fehler genau wie hier beschrieben bekommen. Es wurde behoben, indem zwei Zertifikate gelöscht wurden, die sich im Login-Schlüsselbund befanden, sodass die Zertifizierungskette auf das Original zurückgreifen konnte. Interessanterweise hatte er gerade über Nacht ein Upgrade auf OS X 10.9.2 durchgeführt, was zu diesem Problem führte, und ich weiß, dass eine kritische SSL-Schwachstelle behoben wurde. Gibt es möglicherweise einen MITM-Angriff? dasil003 vor 10 Jahren 0

12 Antworten auf die Frage

79
Allen Hancock

Ab dem 26. Juli 2014 gibt es ein neues Problem, als ein altes, scheinbar quasi weit verbreitetes Zertifikat ausläuft.

Basierend auf https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Anweisungen zum Löschen des abgelaufenen DigiCert SSL-Zertifikats unter OSX

 
  1. Starten des Schlüsselbundzugriffs über Spotlight
    • Space-Raum
    • Geben Sie "Keychain Access" ein.
    • Zurückkehren
  2. Stellen Sie sicher, dass abgelaufene Zertifikate angezeigt werden. Aktivieren Sie "Abgelaufene Zertifikate anzeigen" im Menü "Ansicht".
  3. Suchen Sie nach "Digicert".
  4. Klicken Sie mit der rechten Maustaste auf das Zertifikat mit einem roten X und wählen Sie "DigiCert High Assurance EV Root CA löschen" aus.
  5. Das Zertifikat wird möglicherweise nicht entfernt, wenn Keychain Access neu gestartet wird
  6. Starten Sie Ihre Browser neu
Sie sollten erneut auf die betroffenen Sites zugreifen können.

 

Das Entfernen des Zertifikats hat nicht geholfen, ich habe meinen Computer neu gestartet. Problem bleibt bestehen. Irgendeine Idee? Aviel vor 10 Jahren 2
Ok, ich lösche wahrscheinlich zu viele digi-Zertifikate, ich ging hier https://www.digicert.com/digicert-root-certificates.htm und lud das Zertifikat "DigiCert High Assurance EV Root CA" herunter. Aviel vor 10 Jahren 9
@Aviel Vielen Dank, das Herunterladen und erneutes Installieren dieses Zertifikats hat es für mich getan. Tim Scott vor 10 Jahren 1
Dies funktionierte für mich wie ein Zauber und löste das ähnliche Problem mit Safari (wie Sie es erwarten). Ich musste Chrome jedoch neu starten. biggusjimmus vor 10 Jahren 1
Großartig! Das hat bei mir funktioniert. Danke @Allen Hancock :) Mark Robson vor 10 Jahren 0
Awesome danke dafür, funktioniert super! Martin-Brennan vor 10 Jahren 0
Dies funktionierte für mich, als Coda2 keine Änderungen mehr an Github vornehmen konnte. Vielen Dank! EFC vor 10 Jahren 0
Der Browser muss neu gestartet werden! justingordon vor 10 Jahren 0
Ich habe ein verwandtes Problem: http://superuser.com/questions/802086/digicert-secure-server-ca-signed-by-unknown-authority-mac-os justingordon vor 10 Jahren 0
Bestätigt, funktioniert dies nach einem Neustart des Browsers einwandfrei. mezis vor 10 Jahren 0
41
evacchi

das hat für mich funktioniert:

Keychain.app > Preferences > General > Reset My Default Keychain

AKTUALISIEREN

Eine weniger drastische Option ist das Löschen des DigiCert- Zertifikats aus dem Login-Schlüsselbund : Sie sollten sowieso bereits ein Schlüsselbund im Stammschlüsselbund haben. Dieser Fehler scheint aufzutreten, wenn die beiden nicht übereinstimmen.

Scheint drastisch zu sein ... JLundell vor 10 Jahren 2
Ich glaube, das Löschen des Zertifikats im Login-Schlüsselbund könnte ebenfalls funktionieren. Wenn ich es richtig verstanden habe, ist DigiCert sowieso im Root-Schlüsselbund. Vor dem Zurücksetzen einen Versuch wert. (Natürlich Backup etc etc) evacchi vor 10 Jahren 3
Ja, das hat bei mir funktioniert. Rätsel, warum es im Login-Schlüsselbund ist. Bei der Prüfung sind die beiden Versionen nicht identisch; Neugierig, woher die Login-Version stammt. JLundell vor 10 Jahren 0
Gut zu wissen, ich werde die Antwort aktualisieren. evacchi vor 10 Jahren 0
Nebenbei: Ähnliche Probleme können durch ein abgelaufenes Stammzertifikat im Login-Schlüsselbund verursacht werden, das die aktualisierten Zertifikate der Systemwurzeln überschreibt. Um diese anzuzeigen, aktivieren Sie "Abgelaufene Zertifikate anzeigen" im Menü "Ansicht". Arjan vor 10 Jahren 3
Das ist normalerweise für mich der Fall, ich verstehe immer noch nicht, warum es passiert (aber andererseits weiß ich nicht wirklich, wie Zertifikate funktionieren). evacchi vor 10 Jahren 0
2
dclausen

Keine dieser Antworten funktionierte für mich. Stattdessen habe ich die DigiCert-Stammzertifikate gefunden, heruntergeladen und manuell installiert, indem Sie sie im Finder anklicken.

Sie finden sie hier unter Zwischenzertifikatspeicher prüfen: https://www.digicert.com/ssl-support/windows-cross-signed-chain.htm

1
user2965673

Ich habe gerade Johns Lösung ausprobiert, und das hat nicht geholfen. Obwohl ich in meinem Fall keine der "blauen" Symbole in der Klasse gefunden habe.
Also habe ich nur die beiden vorgeschlagenen Cache-Dateien gelöscht und neu gestartet.
In meinem Fall versuche ich, eine Anwendung in Macports zu aktualisieren, die git verwendet, um sich mit github zu verbinden, um die Quelle herunterzuladen, und dies ist der Fehler. Und ich sehe den Fehler in Safari, aber nicht in Firefox.

Nach dem Vorstehenden habe ich mich mit DigiCert in Verbindung gesetzt, und sie waren sehr hilfreich bei der Lösung. In Keychain Access-> System Roots Kategorie: Zertifikate

DigiCert High Assurance EV-Root CA-> Trust-> SSL-Änderung von: Kein Wert angegeben für: Always Trust GTE CyberTrust Global Root-> Trust-> SSL-Änderung von: Kein Wert für: Always Trust

1
Keith Bennett

Für mich wurde das Problem gelöst, indem das Dienstprogramm "Schlüsselbund-Zugriff" gestartet wurde, im Menü "Schlüsselbund-Zugriff" die Option "Erste Hilfe mit Schlüsselbund" und dann "Reparieren" ausgewählt wurde.

Das Klicken auf die Reparatur scheint alle meine Zertifikate gelöscht zu haben, daher könnte es ein Nebenprodukt sein. Gray vor 8 Jahren 0
0
John Marc

Hatte vor einiger Zeit ein Problem mit verschiedenen SSL-Zertifikaten, stellte sich heraus, dass dies bei 90% dieser Probleme funktioniert.

Löschen Sie die Dateien /var/db/crls/crlcache.db und /var/db/crls/ocspcache.db. Diese können mit Finder's Go> gefunden werden. Gehe zum Ordner-Menü (Cmd + Shift + G). Dadurch wird der Cache der akzeptierten Zertifikate im System zurückgesetzt. Sie werden nicht entfernt, sondern zwingen das System, die Caches beim Neustart neu zu erstellen.

Öffnen Sie den Schlüsselbund-Zugriff (/ Programme / Dienstprogramme / Schlüsselbund-Zugriff). Wählen Sie links in der Kategorie-Auswahl Zertifikate aus. Geben Sie in die Suchleiste das Wort Klasse ein. Sehen Sie sich diese Liste durch und suchen Sie nach Zertifikaten, die ein blaues + -Symbol über ihrem Symbol haben. Dies sind die, die Sie ändern müssen.

Wählen Sie einen aus, der ein blaues "+" hat, und drücken Sie die Tastenkombination "Befehlstaste + I". Klicken Sie auf das Dreiecksymbol neben der Liste "Vertrauenswürdig", um die Liste der Berechtigungen anzuzeigen. Jetzt müssen wir dieses Zertifikat für die Verwendung der Systemstandardeinstellungen festlegen. Wenn Sie es jedoch auswählen, wird es aus irgendeinem Grund nicht gespeichert. Was Sie also tun müssen, ist dies. Ändern Sie unter "Trust" (Vertrauenswürdig), "Secure Sockets Layer (SSL)", das Dropdown-Menü in "No Value Specified". Schließen Sie dann das Fenster. Sie werden nach Ihren Administratorberechtigungen gefragt. Öffnen Sie dann erneut den Infobereich für dieses Zertifikat. Legen Sie nun erneut unter "Vertrauen" das Dropdown-Menü "Bei Verwendung dieses Zertifikats" so fest, dass "Systemeinstellungen" verwendet wird. Sie können dann den Infofenster schließen und Ihr Kennwort erneut eingeben. Tun Sie dies für alle Zertifikate, die ein blaues + auf ihrem Symbol haben. Es sollte höchstens ein oder zwei sein.

Starten Sie Ihr System neu.

Lassen Sie mich wissen, wenn das funktioniert, wäre ich neugierig, wenn das funktioniert.

Da IMMER ein Backup von Time Machine zur Verfügung steht, können Sie, falls es schlimmer wird, zumindest zurückgehen!

0
Kurt Bussche

Für diejenigen, die das abgelaufene Zertifikat entfernt haben, aber immer noch das Problem haben. Starten Sie den Zugriff auf den Schlüsselbund, gehen Sie zu dem entsprechenden Menüpunkt, wählen Sie "Erste Hilfe für den Schlüsselbund" aus, führen Sie eine Überprüfung durch, führen Sie eine Reparatur durch und führen Sie dann erneut eine Überprüfung durch, um sicherzugehen. Das Problem sollte verschwinden.

Dies scheint das gleiche zu sein wie [Antwort von Keith Bennett] (http://superuser.com/a/777707/150988) am 6. Juli. Scott vor 10 Jahren 0
0
Nedudi

Das hat mir geholfen:

(Chrom, OsX)

  1. Öffnen Sie Keychain.app
  2. Suchen Sie "digicert" in der rechten oberen Ecke von Keychain.app
  3. Wählen Sie alle Digicert-Zertifikate aus und entfernen Sie sie mit Rechtsklick und Kontextmenü ( http://screencast.com/t/2T4f1XQa0Xu ).
  4. Gehen Sie hier http://digicert.com/digicert-root-certificates.htm
  5. Finden Sie auf der Seite das DigiCert High Assurance EV Root CA- Zertifikat
  6. Nach dem Herunterladen klicken Sie darauf und installieren Sie es in Ihrem Schlüsselbund
  7. Starten Sie Ihr Chrom neu
0
Zulhilmi Zainudin

Ich folgte dem Tipp von Allen, aber es funktionierte nicht für mich. Also versuche ich das. Sieht aus wie es funktioniert.

  1. Folgen Sie allen Schritten von Allen.
  2. Betroffene Site auf Safari öffnen (zB: github.com).
  3. Es wird Ihnen diese Warnmeldung angezeigt. Klicken Sie auf "Zertifikat anzeigen". enter image description here
  4. Bei 'Bei Verwendung dieses Zertifikats' wählen Sie 'Immer vertrauen'. Alle 2 untenstehenden Dropdowns folgen derselben Regel, die Sie hier ausgewählt haben. enter image description here
  5. Öffnen Sie Chrome und versuchen Sie, auf die betroffene Site zuzugreifen (z. B. github.com).

Ich habe das versucht. Facebook lädt normal. Aber Github wurde ohne CSS geladen. Ich bekomme Skelett Github. Ich weiß nicht, warum das passiert. Aber die Verbindung ist schon hergestellt und in Ordnung.

Irgendeine Idee, Jungs?

0
Stuart

Nachdem ich viele Stunden damit verbracht hatte, das Problem zu beheben, lud ich - Link herunter ;

  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA
  • Stammzertifizierungsstelle für DigiCert Assurance-ID

Keine Ahnung, ob diese gute Praxis für mich funktioniert. Ich verwende OSX 10.9.5 & Chrome 42.0.2311.152 (64-Bit)

Verwandte Probleme