Question Pourquoi OS X ne fait-il pas confiance au certificat SSL de GitHub?


Quand je vais sur n'importe quelle page de github.com dans Chrome, je reçois une grosse erreur:

Vous avez tenté d’atteindre github.com, mais le serveur a présenté un   certificat émis par une entité non approuvée par votre ordinateur   système opérateur. Cela peut signifier que le serveur a généré ses propres   des identifiants de sécurité, sur lesquels Chrome ne peut compter pour son identité   des informations, ou un attaquant peut essayer d’intercepter votre   communications

Vous ne pouvez pas continuer car l'opérateur du site a   a demandé une sécurité accrue pour ce domaine.

La même chose se produit (dans Chrome et avec curl) quand je vais à https://www.digicert.com/ aussi. Ce problème étrange a commencé il y a environ une semaine et demie.

Voici ce que je vois lorsque je clique sur l'icône de verrouillage cassé dans la barre d'adresse:

GitHub.com is broken GitHub.com Certificate Information

Mais gist.github.com fonctionne très bien:

Gist.GitHub.com works Gist.GitHub.com Certificate Information

Il ne fonctionne pas avec curl non plus:

It doesn't work with curl

Tout fonctionne bien dans Firefox.

Comment puis-je résoudre mon problème de CA racine?

Voici à quoi ça ressemble dans Firefox:

enter image description here enter image description here

Mettre à jour:

J'ai remarqué que le premier certificat de la chaîne est différent dans mon Chrome / Safari cassé par rapport à Chrome sur mon autre ordinateur.

enter image description here enter image description here

(Il n'y a plus de mauvais X rouge parce que je lui ai fait confiance dans Safari.) Voyez comment les émetteurs sont différents? Que puis-je faire de cela?


66
2018-06-10 14:46


origine


Il y a une différence entre * .github.com et github.com quel navigateur utilisez-vous? - Ramhound
Chrome. Il est cassé dans Chrome, mais cela fonctionne dans Firefox. Il ne fonctionne pas avec curl. - Trevor Dixon
Pouvez-vous poster les informations de Firefox qui montrent que le certificat n'a pas d'erreurs? - Ramhound
Ajout de photos Firefox en bas. - Trevor Dixon
Même problème avec digicert.com lui-même - Trevor Dixon


Réponses:


cela a fonctionné pour moi:

Keychain.app > Preferences > General > Reset My Default Keychain

METTRE À JOUR

Une option moins drastique consiste à supprimer le DigiCert certificat du se connecter: de toute façon, vous devriez déjà en avoir un dans le trousseau racine. Cette erreur semble se produire lorsque les deux ne correspondent pas.


41
2018-02-25 21:33



Semble drastique ... - JLundell
Je pense que la suppression du certificat dans le trousseau de connexion pourrait également fonctionner. Si j'ai bien compris, DigiCert est de toute façon dans le trousseau racine. Cela vaut la peine d'essayer avant de réinitialiser. (Bien sûr sauvegarde etc etc) - evacchi
Oui, ça a fonctionné pour moi. Puzzle pourquoi il est dans le trousseau de connexion. A l'examen, les deux versions ne sont pas identiques; curieux d'où vient la version de connexion. - JLundell
bon à savoir, je met à jour la réponse. - evacchi
En passant: des problèmes similaires peuvent être causés par le fait d'avoir un certificat racine expiré dans le porte-clé de connexion, qui remplace les certificats mis à jour à partir des racines du système. Pour les afficher, activez "Afficher les certificats expirés" dans le menu "Affichage". - Arjan


Il y a un nouveau problème à partir du 26 juillet 2014, date à laquelle un ancien certificat de diffusion apparemment quasi étendu a expiré.

Basé sur https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Instructions pour effacer le certificat SSL DigiCert expiré sur OSX

  1. Lancement de l'accès au trousseau via Spotlight
    • Space-Space
    • Tapez "Keychain Access"
    • Hit retour
  2. Assurez-vous que les certificats expirés sont affichés. activer "Afficher les certificats expirés" dans le menu "Affichage".
  3. Recherchez "Digicert".
  4. Cliquez avec le bouton droit sur le certificat avec un X rouge et sélectionnez "Supprimer l'autorité de certification racine EV High Assurance DigiCert"
  5. Le certificat peut ne pas sembler supprimé jusqu'à ce que le trousseau d'accès soit redémarré
  6. Redémarrez vos navigateurs
Vous devriez à nouveau pouvoir accéder aux sites concernés.


79
2017-07-26 20:49



Supprimer le certificat n'a pas aidé, j'ai redémarré mon ordinateur. Le problème persiste. Une idée? - Aviel
Ok, je supprime probablement trop de certificats digi, je suis allé ici digicert.com/digicert-root-certificates.htm et téléchargé le certificat "DigiCert High Assurance EV Root CA". - Aviel
@Aviel Merci de télécharger et de réinstaller ce certificat pour moi. - Tim Scott
Cela a fonctionné comme un charme pour moi, et a également résolu le problème similaire avec safari (comme vous vous en doutez). Je devais redémarrer Chrome cependant. - biggusjimmus
Génial! Cela a fonctionné pour moi. Merci @Allen Hancock :) - Mark Robson


Aucune de ces réponses n'a fonctionné pour moi. Au lieu de cela, j'ai trouvé les certificats racine DigiCert, les ai téléchargés et les ai installés manuellement en cliquant dessus dans le Finder.

Trouvez-les ici sous Vérification du magasin de certificats intermédiaire: https://www.digicert.com/ssl-support/windows-cross-signed-chain.htm


2
2017-07-16 15:28





J'ai juste essayé la solution de John, et cela n'a pas aidé. Bien que dans mon cas, je n'ai trouvé aucune des icônes "bleu +" en classe.
Donc, tout ce que j'ai fait a été de supprimer les deux fichiers de cache suggérés et de redémarrer.
Dans mon cas, j'essaye de mettre à jour une application dans Macports, qui utilise git pour se connecter à github afin de télécharger la source, ce qui donne l'erreur. Et, je vois l'erreur dans Safari, mais pas dans Firefox.

Après ce qui précède, j'ai contacté DigiCert et ils ont été très utiles pour le résoudre. Dans Keychain Access-> System Roots Catégorie: Certificats

DigiCert CA High CA CA-> Trust-> SSL from: aucune valeur spécifiée à: Toujours faire confiance à GTE CyberTrust Racine globale-> Trust-> SSL from: aucune valeur spécifiée à: Always Trust


1
2017-11-18 19:49





Pour moi, le problème a été résolu en démarrant l'utilitaire Keychain Access, en sélectionnant Keychain First Aid dans le menu Keychain Access et en sélectionnant Repair.


1
2017-07-06 23:32



Cliquer sur Réparer semble avoir effacé tous mes certificats, cela pourrait donc être un sous-produit. - Gray


Un problème avec divers certificats SSL il y a quelque temps, a révélé que cela fonctionne pour 90% de ces problèmes.

Supprimez les fichiers /var/db/crls/crlcache.db et /var/db/crls/ocspcache.db. Ceux-ci peuvent être trouvés en utilisant Go>; Aller au menu des dossiers (Cmd + Shift + G). Cela réinitialise le cache des certificats acceptés dans le système. Il ne les supprime pas, il force simplement le système à reconstruire les caches au redémarrage.

Ouvrez l'accès au trousseau (/ Applications / Utilitaires / Accès au trousseau). Sélectionnez Certificats dans le sélecteur de catégorie sur le côté gauche. Dans la barre de recherche, saisissez le mot Classe. Parcourez cette liste et recherchez les certificats portant un symbole bleu + sur leur icône. Ce sont ceux que vous devez modifier.

Sélectionnez celui qui a un bleu + et appuyez sur Commande + I. Cliquez sur le triangle d'affichage à côté de la liste "Trust" pour afficher la liste des autorisations. Maintenant, ce que nous devons faire est de définir ce certificat pour utiliser les valeurs par défaut du système. Cependant, pour une raison quelconque, lorsque vous le sélectionnez, il n’enregistre pas. Donc, ce que vous devez faire, c'est ceci. Sous "Confiance", où il est dit "SSL (Secure Sockets Layer)", modifiez le menu déroulant pour dire "Aucune valeur spécifiée". Ensuite, fermez la fenêtre. Il vous demandera vos autorisations d'administrateur. Ensuite, ouvrez à nouveau le volet d'informations pour ce certificat. Sous "Confiance" à nouveau, définissez maintenant le menu déroulant qui dit "Lorsque vous utilisez ce certificat:" pour dire "Utiliser les valeurs par défaut du système". Vous pouvez alors fermer le volet d'informations et entrer à nouveau votre mot de passe. Faites-le pour l'un des certificats qui ont un + bleu sur leur icône. Il ne devrait y en avoir qu'un ou deux au maximum.

Redémarrez votre système.

Faites-moi savoir si cela fonctionne, je serais curieux si cela fonctionne.

Comme vous avez TOUJOURS une sauvegarde en utilisant Time Machine, car si la situation empire, vous pouvez revenir en arrière!


0
2017-11-05 06:51





Pour ceux qui ont supprimé le certificat expiré mais ont toujours le problème. Lancez l'accès au trousseau, accédez à l'élément de menu correspondant, sélectionnez "trousse de secours", effectuez une vérification, effectuez une réparation, puis effectuez une nouvelle vérification pour être sûr. Le problème devrait disparaître.


0
2017-07-31 16:37



Cela semble être le même que La réponse de Keith Bennett le 6 juillet. - Scott


Cela m'a aidé:

(chrome, OsX)

  1. Ouvrir Keychain.app
  2. Rechercher "digicert" dans le coin supérieur droit de Keychain.app
  3. Sélectionnez tous les certificats digicert et supprimez-les avec le clic droit et le menu contextuel (http://screencast.com/t/2T4f1XQa0Xu)
  4. Va ici http://digicert.com/digicert-root-certificates.htm
  5. Trouver sur la page et télécharger CA de racine de DigiCert High Assurance EV certificat
  6. Lorsque téléchargé - cliquez dessus et installez-le dans votre trousseau
  7. Redémarrez votre chrome

0
2017-08-12 20:17