Вопрос: Почему OS X не доверяет SSL-сертификату GitHub?


Когда я перехожу на любую страницу github.com в Chrome, я получаю большую уродливую ошибку:

Вы пытались достичь github.com, но сервер представил   сертификат, выданный лицом, которому не доверяют компьютер   операционная система. Это может означать, что сервер создал собственный   учетные данные безопасности, на которые Chrome не может рассчитывать   информация или злоумышленник могут пытаться перехватить ваш   коммуникации.

Вы не можете продолжить, потому что оператор веб-сайта   запрошенная повышенная безопасность для этого домена.

То же самое происходит (в Chrome и с завитом), когда я иду https://www.digicert.com/ слишком. Эта странная проблема началась около полутора лет назад.

Вот что я вижу, когда я щелкаю по сломанному значку блокировки в адресной строке:

GitHub.com is broken GitHub.com Certificate Information

Но gist.github.com работает просто отлично:

Gist.GitHub.com works Gist.GitHub.com Certificate Information

Он не работает с завитком:

It doesn't work with curl

Все отлично работает в Firefox.

Как я могу исправить мою проблему с корневым центром?

Вот как это выглядит в Firefox:

enter image description here enter image description here

Обновить:

Я заметил, что первый сертификат в цепочке отличается в моем сломанном Chrome / Safari по сравнению с Chrome на моем другом компьютере.

enter image description here enter image description here

(Нет никакого неприятного красного X больше, потому что я доверял ему в Safari.) Посмотрите, как эмитенты разные? Что я могу сделать из этого?


66
2018-06-10 14:46


Источник


Существует ли разница между * .github.com и github.com, какой браузер вы используете? - Ramhound
Хром. Он взломан в Chrome, но работает в Firefox. Он не работает с завитком. - Trevor Dixon
Можете ли вы опубликовать информацию о Firefox, которая показывает, что у сертификата нет ошибок? - Ramhound
Добавлены фотографии Firefox внизу. - Trevor Dixon
Такая же проблема с digicert.com сам. - Trevor Dixon


Ответы:


это сработало для меня:

Keychain.app > Preferences > General > Reset My Default Keychain

ОБНОВИТЬ

Менее решительным вариантом является удаление DigiCert сертификат от логин Keychain: вы все равно должны иметь один в корневой цепочке ключей. Эта ошибка возникает, когда они не совпадают.


41
2018-02-25 21:33



Кажется резким ... - JLundell
Я считаю, что удаление сертификата в логине Keychain может работать. Если я правильно понял, DigiCert все равно находится в корневой цепочке ключей. Стоит попробовать перед сбросом. (Конечно, резервное копирование и т. Д.) - evacchi
Да, это сработало для меня. Головоломка, почему это в брелок для входа. При рассмотрении две версии не идентичны; откуда появилась версия для входа в систему. - JLundell
Полезно знать, я обновлю ответ. - evacchi
В стороне: аналогичные проблемы могут быть вызваны наличием истекшего корневого сертификата в цепочке ключей для входа в систему, который переопределяет обновленные сертификаты из системных корней. Чтобы показать их, включите «Показать истекшие сертификаты» в меню «Вид». - Arjan


По состоянию на 26 июля 2014 года возникла новая проблема, когда истек, по-видимому, квазивредный сертификат распространения.

Основано на https://www.yesthatallen.com/fixing-an-old-digicert-issue/

Инструкции по очистке истек Сертификат DigiCert SSL на OSX

  1. Запуск доступа к брелокам через Spotlight
    • ⌘-Space
    • Введите «Доступ к ключам»
    • Возвращение хита
  2. Убедитесь, что истек срок действия сертификатов; включите «Показать истекшие сертификаты» в меню «Вид».
  3. Найдите «Digicert».
  4. Щелкните правой кнопкой мыши сертификат с красным символом X и выберите «Удалить корневой центр CA с высокой степенью уверенности DigiCert»,
  5. Сертификат может не выглядеть удаленным до тех пор, пока не будет перезапущен доступ к Keychain Access
  6. Перезагрузите браузеры
Вы должны снова иметь доступ к затронутым сайтам.


79
2017-07-26 20:49



Удаление сертификата не помогло, я перезагрузил компьютер. Проблема сохраняется. Есть идеи? - Aviel
Хорошо, я, вероятно, удаляю слишком много сертификатов digi, я пошел сюда digicert.com/digicert-root-certificates.htm и загрузил сертификат DigiCert High Assurance EV Root CA. - Aviel
@Aviel Спасибо, загрузив и переустановив, что cert сделал это для меня. - Tim Scott
Это работало для меня как прелесть, а также разрешило подобную проблему с сафари (как и следовало ожидать). Однако мне пришлось перезапустить Chrome. - biggusjimmus
Большой! Это сработало для меня. Спасибо @Allen Hancock :) - Mark Robson


Ни один из этих ответов не работал для меня. Вместо этого я нашел корневые сертификаты DigiCert, загрузил их и установил их вручную, нажав на них в Finder.

Найдите их здесь в разделе Проверка хранилища промежуточных сертификатов: https://www.digicert.com/ssl-support/windows-cross-signed-chain.htm


2
2017-07-16 15:28





Я просто попробовал решение Джона, и это не помогло. Хотя в моем случае я не нашел ни одного из значков «синий +» в классе.
Итак, все, что я сделал, это удалить два рекомендуемых файла кэша и перезагрузить компьютер.
В моем случае я пытаюсь обновить приложение в Macports, которое использует git для подключения к github для загрузки источника, и это дает ошибку. И я вижу ошибку в Safari, но не в Firefox.

После этого я связался с DigiCert, и они очень помогли нам решить проблему. В Keychain Access-> System Roots Категория: Сертификаты

DigiCert High Assurance EV Root CA-> Trust-> SSL-изменение: нет значения, указанного для: Всегда доверяйте GTE CyberTrust Global Root-> Trust-> SSL change from: no value, указанному для: Always Trust


1
2017-11-18 19:49





Для меня проблема была решена путём использования утилиты Keychain Access, выбора первой помощи Keychain из меню Keychain Access и выбора Repair.


1
2017-07-06 23:32



Нажатие на ремонт, похоже, очистило все мои сертификаты, поэтому это может быть побочный продукт. - Gray


Если у вас возникла проблема с различными сертификатами SSL, выяснилось, что это работает для 90% этих проблем.

Удалите файлы /var/db/crls/crlcache.db и /var/db/crls/ocspcache.db. Они могут быть найдены с помощью Finder's Go>; Перейдите в меню «Папка» (Cmd + Shift + G). Это сбрасывает кэш принятых сертификатов в системе. Он не удаляет их, а просто заставляет систему восстанавливать кеши при перезагрузке.

Open Keychain Access (/ Приложения / Утилиты / Доступ к брелокам). Выберите «Сертификаты» в разделе «Выбор категории» с левой стороны. В строке поиска введите слово «Класс». Просмотрите этот список и найдите любые сертификаты с символом «синий +» над их значком. Это те, которые вам нужно изменить.

Выберите тот, у которого есть синий +, и нажмите Ctrl + I. Нажмите треугольник раскрытия рядом с списком «Доверие», чтобы отобразить список разрешений. Теперь нам нужно установить этот сертификат для использования системных значений по умолчанию. Однако по какой-то причине, когда вы его выбираете, оно не сохраняется. Так что вам нужно сделать это. В разделе «Доверие», где говорится «Secure Sockets Layer (SSL)», измените раскрывающееся меню, чтобы сказать «Нет значения». Затем закройте окно. Он попросит разрешения для вашего администратора. Затем снова откройте информационную панель для этого сертификата. В разделе «Доверие» снова установите раскрывающийся список, в котором говорится «При использовании этого сертификата:», чтобы сказать «Использовать системные значения по умолчанию». Затем вы можете закрыть панель информации и снова ввести свой пароль. Сделайте это для любого из сертификатов с синим + на их значке. Там должно быть только одно или два.

Перезагрузите систему.

Дайте мне знать, если это сработает, мне было бы любопытно, если это сработает.

Поскольку у ВСЕГДА есть резервная копия с использованием Time Machine, вызывают, если она ухудшается, по крайней мере, вы можете вернуться!


0
2017-11-05 06:51





Для тех, кто удалил истекший сертификат, но все еще есть проблема. Запустите доступ к keychain, перейдите к пункту меню для него, выберите «скорая помощь», запустите проверку, запустите ремонт, а затем запустите проверку еще раз, чтобы быть уверенным. Проблема должна исчезнуть.


0
2017-07-31 16:37



Это похоже на то, что Ответ Кита Беннетта 6 июля. - Scott


Это помогло мне:

(хром, OsX)

  1. открыто Keychain.app
  2. Найдите «digicert» в верхнем правом углу Keychain.app
  3. Выберите все сертификаты digicert и удалите их с помощью правого клика и контекстного меню (http://screencast.com/t/2T4f1XQa0Xu)
  4. Иди сюда http://digicert.com/digicert-root-certificates.htm
  5. Найти на странице и скачать Root CA DigitCert High Assurance EV сертификат
  6. При загрузке - щелкните по нему и установите его в свой брелок
  7. Перезапустить хром

0
2017-08-12 20:17





Я последовал за советом Аллена, но это не сработало для меня. Поэтому я пробую это. Похоже, он работает.

  1. Следуйте всем шагам Аллена.
  2. Откройте уязвимый сайт в Safari (например: github.com).
  3. Он подведет вам это поле предупреждения. Нажмите «Показать сертификат». enter image description here
  4. В раскрывающемся меню «При использовании этого сертификата:» выберите «Всегда доверять». Все 2 выпадающих списка ниже будут следовать тому же правилу, который вы выбрали здесь. enter image description here
  5. Откройте Chrome, попробуйте обратиться к затронутому сайту (например: github.com).

Я пробовал это. Facebook загружается нормально. Но github загружен без CSS. Я получаю скелет github. Я не знаю, почему это происходит. Но соединение уже установлено и все в порядке.

Есть идеи, ребята?


0
2017-09-01 08:52