Domanda:
Come sostituire i certificati root e intermedi mancanti in Mac OS X v10.8
joe_04_04
2017-01-25 16:07:53 UTC
view on stackexchange narkive permalink

La premetto con il fatto che non so nulla di rete / sicurezza / ecc. Per due volte ho avuto problemi con i certificati di root che non funzionavano e generavano errori, anche se sono ancora validi.

Ecco il link al mio ultimo post che è stato corretto dopo un aggiornamento del sistema operativo (a questo punto, non posso aggiornare ulteriormente, poiché il mio sistema è bloccato in base al software più vecchio che lo richiede).

Safari non può verificare l'identità degli errori del sito web

Ora, lo stesso problema si è verificato di nuovo e non riesco a capire cosa fare. Ero preoccupato che si trattasse di un attacco MiTM, ma a questo punto non sapevo cosa fare per risolverlo. Ho cancellato la chiave in questione che aveva una x rossa accanto ad essa nel portachiavi e ho provato a reinstallare le chiavi tramite Pacifist, ma continua a non funzionare (inoltre, non vedo la chiave ora dopo aver utilizzato il metodo Pacifist, quindi non lo sono sicuro di come ripristinarlo, ma i siti web continuano a generare errori.

enter image description here

Se qualcuno ha qualche suggerimento per risolvere il problema (poiché vorrei accedere in sicurezza ad alcuni siti web che lo richiedono), o una soluzione al problema generale, sarei ESTREMAMENTE felice (offrirò punti reputazione non appena poiché l'opzione è aperta o invierà direttamente, se possibile, se qualcuno mi aiuta a risolvere questo problema prima di così).

Al momento uso OS 10.8.5.

MODIFICA:
L'ho installato e ora dice, in "InCommon RSA Standard Assurance Client CA" - Questo certificato è stato firmato da un'autorità sconosciuta. "Ho anche da 3 a 4 altri certificati di accesso che mostrano errori, ognuno di essi ha una sorta di messaggio relativo alla "CA del client InCommon RSA Standard Assurance". Stranamente, c'è un altro certificato che non mostra errori firmato dalla CA del client InCommon RSA Standard Assurance, ma con una data di scadenza diversa. Mi sono perso. Posso pubblicare foto di tutti gli errori, se necessario.

AGGIORNAMENTO: Aggiornato da 10.8.5 a 10.10.5. I problemi di certificato persistono ancora.

In un 10.8.5 quasi vanigliato ottengo il via libera qui!Manca un "AddTrust External CA Root" (emesso il 30 maggio 2000) come certificato radice nell'intera catena di certificati.
L'ho eliminato perché era stato contrassegnato come scaduto, anche se la data di scadenza non era stata superata.
Puoi scaricarlo [qui (link diretto d / l)] (http://crl.comodoca.com/AddTrustExternalCARoot.crl).Mostra gli stessi valori (incluso sha / md5 ovviamente) del mio sistema ML e puoi aggiungerlo al tuo portachiavi System-Roots.
@klanomath, ti ringrazia per il tuo aiuto, ma ho provato a importarlo e il messaggio nel portachiavi diceva "Si è verificato un errore, impossibile importare un elemento: il contenuto di questo elemento non può essere recuperato."Il file che avevi per il download si chiamava "AddTrustExternalCARoot.crl" È corretto?
Ti consiglio di scoprire se stai effettivamente sperimentando un attacco di un uomo nel mezzo prima di affrontarlo come il problema che stai affrontando.Vedi http://security.stackexchange.com/questions/93869/detecting-a-mitm-attack
Cosa ti ha fatto pensare che stavi vivendo un attacco Man in the Middle?E puoi dettagliare alcuni (il maggior numero possibile) dei passaggi che hai già eseguito?
@AlistairMcMillan - Beh, non ne sono del tutto sicuro.Non so per certo di avere un attacco MITM, ma avevo certificati casuali che "scadevano", anche se la data di scadenza non era stata superata (in alcuni casi, ad anni dalla scadenza).I siti web sarebbero stati contrassegnati come "dannosi" a causa di queste certificazioni scadute (che non erano oltre la data di scadenza).Alcuni bravi tizi di networking hanno detto che "potrebbe" essere un attacco MITM.Anche se verificarlo è un po 'sopra la mia testa.Sono uno studente di informatica, ma questa rete non è il campo che sto studiando (sono più interessato alla programmazione).
@AlistairMcMillan-I ha provato i passaggi elencati nel precedente post SO che ho fatto, che includeva l'uso di Pacifist per estrarre le certificazioni e provare a importare, ma questo processo è sempre vago perché a volte l'importazione non funziona, altre volte funziona, ma non lo faccio 'Non si vedono i nuovi certificati pop-up o si verificano errori.Ho anche finito per aggiornare (di nuovo durante il primo post) da 10.8.4 a 10.8.5, ma il problema è tornato.Infine, ho stupidamente cancellato alcuni certificati, pensando che avrei potuto facilmente scaricarne di nuovi dai fornitori, ma non avevo idea che non fosse così semplice, ho solo letto altrove che potresti eliminare i certificati scaduti.
A questo punto, voglio solo sbarazzarmi di tutti gli errori dei certificati scaduti e avere un accesso sicuro a tutti i siti web a cui avevo accesso sicuro prima.Aumenterò la taglia a 100 punti se non riesco a trovare aiuto durante questo round di taglie.
Cinque risposte:
konqui
2017-01-28 15:11:13 UTC
view on stackexchange narkive permalink

Non si dovrebbe mai eliminare un certificato radice.

E non dovresti mai eliminare un certificato radice che è stato contrassegnato come non valido prima che sia stata raggiunta la sua data di scadenza.

C'era un motivo per cui era stato contrassegnato come non valido.

Soprattutto perché l'emittente del certificato lo contrassegna come non valido (ciò potrebbe essere stato fatto perché è stato violato o qualsiasi altra cosa avrebbe potuto compromettere il suo certificato radice).

Ora tu / il tuo browser non avete il certificato di root, quindi non siete in grado di convalidare alcun certificato considerato attendibile da questo root.

Quindi dipende dal browser e da come gestisce i certificati di una radice che non conosce.

Se il browser agisce correttamente, ti mostrerà ogni certificato basato su questa radice come non valido, ma alcuni browser (almeno in passato) non lo gestivano correttamente e avrebbero mostrato certificati senza una radice che conoscevano come validi.

-1 perché quello che hai scritto mi sembra eccessivamente condiscendente.Inoltre non è una risposta alla domanda, che richiedeva esplicitamente suggerimenti per risolvere il problema.
Ad essere onesti, questo è un ottimo consiglio.Condiscendenza?Non lo vedoOP ha eliminato un certificato radice non valido / revocato.Ho fatto questo errore.Me ne ero dimenticato fino a quando non ho letto questo.La migliore soluzione a un problema è non averlo.+1.
Alistair McMillan
2017-02-02 03:57:18 UTC
view on stackexchange narkive permalink

La mia prima opzione migliore sarebbe eseguire il backup dei file, cancellare completamente la macchina e reinstallare il sistema operativo da un supporto noto. Soprattutto perché dici che questo problema è in corso da un po 'e non sei in grado di ricordare tutte le modifiche che hai apportato. Questa è l'opzione più veloce e sicura.

Se questa non è un'opzione, è necessario scaricare e sostituire tutti i certificati radice eliminati. Trova una macchina di cui ti fidi e usala per scaricare i certificati root o intermedi da siti affidabili. Ogni volta che si riceve un messaggio che dice "... firmato da un emittente non attendibile" è necessario individuare il certificato utilizzato per firmarlo, scaricarlo e installarlo. Questo è l'unico modo per sbarazzarsi di questi errori. Siamo spiacenti ma non esiste una soluzione rapida che possa annullare questo danno.

Infine, vorrei seriamente, fortemente consigliare l'aggiornamento alla versione più recente di macOS che verrà installata sul tuo Mac. Sembra che tu sia preoccupato per la sicurezza. L'esecuzione di un sistema operativo di cui Apple ha smesso di applicare le patch (cioè abbandonato) nell'agosto 2015 non è una buona idea. Se sei bloccato a utilizzare la 10.8.5 perché parti di software non sono state aggiornate, è il momento di rilasciarle o anche di pubblicare domande qui in cerca di aiuto per farle funzionare su versioni più recenti di macOS o per trovare sostituzioni.

Mi piacerebbe poter aggiornare il mio Mac, ma non sono pochi software, sono centinaia.Lo uso per la produzione in studio e utilizzo una versione precedente di strumenti professionali con plug-in audio meno recenti.Il solo denaro totale derivante dall'aggiornamento dei miei plugin e del mio rig PT sarebbe di migliaia.Fa davvero schifo essere congelato su questo sistema operativo.Ho un MacBook Air completamente pulito con la versione più recente di Sierra, dovrei provare a ottenere quei certificati?C'è una buona procedura per questo?
Potrebbe essere disposto a eseguire l'aggiornamento all'ultima versione del sistema operativo supportata da Pro Tools 11 (10.10.5)
Aggiornato dal 10.8.5 al 10.10.5.I certificati sono ancora rovinati.
@joe_04_04 Sono contento che tu sia passato a un sistema operativo che sta ancora ricevendo aggiornamenti di sicurezza, ma scusa se non sono stato chiaro.Volevo dire che dovresti cancellare la macchina e installare una versione più recente del sistema operativo, non solo aggiornare sul posto.
Sarebbe sufficiente un'installazione in "modalità di ripristino"?Presumo che l'aggiornamento combinato da 10.8.5 a 10.10.5 non abbia installato nulla relativo ai portachiavi, poiché non è stato modificato nulla, ma un'installazione in modalità di ripristino dovrebbe sostituire completamente l'intero sistema operativo, e non solo aggiungere a una parte di esso come una combol'aggiornamento fa.So che ANCORA questo non è buono come pulire la macchina e fare un'installazione pulita, quindi reinstallare ogni singolo elemento come era, ma ho letteralmente installato così tanto per il mio home studio che ci vorrebbero settimane, se nomesi sulla mia connessione a velocità inferiore per risolverlo allo stesso modo (o chiudere).
Ora che ho il sistema operativo più recente con cui mi sento a mio agio, questa versione del sistema operativo verrà riconosciuta durante un'installazione in modalità di ripristino e verrà sostituita.
johnny bofh
2017-01-28 15:56:58 UTC
view on stackexchange narkive permalink

Scarica e installa AddTrust External CA Root che è collegato da Comodo.

L'ho installato e ora dice, in "InCommon RSA Standard Assurance Client CA" - Questo certificato è stato firmato da un'autorità sconosciuta. "Ho anche da 3 a 4 altri certificati di accesso che mostrano errori, ognuno di essi ha una sorta dimessaggio relativo a "InCommon RSA Standard Assurance Client CA"
Kumis Mala
2018-06-07 03:25:50 UTC
view on stackexchange narkive permalink

Capisco che desideri correggere i tuoi certificati Apple e mi dispiace che tu abbia problemi. Prima di tutto è necessario capire a cosa erano destinati i certificati originariamente e cosa sono diventati nella nuova economia moderna di Internet proxy 3D guidato dalle aziende. Un certificato è un file di testo che di solito ha 1024 2048 ecc. Caratteri. In altre parole, i certificati root e utente sono solo due file di testo separati che mantengono una relazione matematica.

Vai avanti e confronta il processo di installazione del certificato per Google Android Studio e Xcode iTunes Submit. Con Xcode hai bisogno di un'intera fattoria di banane interdipartimentale di rifiuti certificati in Apple per essere subito operativa. Google è un download e un clic.

Ora odio dirtelo, ma devi rompere il motore dei certificati all'interno di OSX con una patch per Linux perché l'unico modo in cui il certificato radice di Apple creerà calcoli piramidali per approvare il tuo certificato è se il tuo Mac è in garanzia.

Inoltre, tieni presente che se ti trovi nel Regno Unito è illegale partecipare a un piano di obsolescenza pianificato come l'uso improprio illegale di certificati di dati da parte di Apple come tecnologia di blacklist.

Buona fortuna!

bbaassssiiee
2017-02-02 12:14:24 UTC
view on stackexchange narkive permalink

Scarica Firefox, dispone del proprio archivio dei certificati CA Root.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...