La mise à jour de Mac OS X Lion 10.7.2 rompt SSL

Sommaire

Après la mise à jour de 10.7.1 vers 10.7.2, ni Safari ni Google Chrome ne peuvent charger GMail. Faire tourner des ballons de plage tout autour.

Le problème n'est pas GMail; Firefox charge très bien GMail.

Le problème n'est pas limité à Safari ou Google Chrome; D'autres applications ont également des problèmes avec SSL: Gilgamesh et Safari. Tout programme qui utilise WebKit (Google Chrome, Safari) ou une bibliothèque Cocoa (Gilgamesh) pour accéder à Internet a du mal à charger des sites sécurisés.

Les différents forums en ligne proposent une poignée de correctifs, dont aucun ne fonctionne.

Une analyse

Correctif n ° 1: ouvrez Keychain Access.app et supprimez le certificat inconnu.

La mise à jour 10.7.2 empêche également le chargement du trousseau d'accès. Le programme Keychain lui-même Spinning Beachballs.

Correction n ° 2: supprimez ~ / Library / Keychains / login.keychain et /Library/Keychains/System.keychain.

Cela résout temporairement le problème et vous permet de charger des sites sécurisés, mais une minute ou deux après le redémarrage ou la mise en veille prolongée annule comme par magie le correctif, vous devez donc supprimer ces fichiers encore et encore.

Correctif n ° 3: supprimez ~ / Library / Application \ Support / Mob * et / Library / Application \ Support / Mob *.

Il y a une rumeur selon laquelle le nouveau service ubd MobileMe / iCloud est à l'origine du problème. Ce correctif ne résout pas le problème.

Correctif n ° 4: ouvrez l'accès au trousseau, ouvrez les préférences et désactivez OCSP et CRL.

Ce correctif ne résout pas le problème.

Correctif n ° 5: utilisez le programme d'installation combo 10.7.0 -> 10.7.2, plutôt que le programme d'installation 10.7.1 -> 10.7.2.

Lorsque j'exécute le programme d'installation combo , il reste indéfiniment à l'écran "Validation des packages ...". Le programme d'installation combo lui-même est buggé sur He ||.

J'ai forcé la fermeture du programme d'installation, exécuté "sudo killall installd" pour forcer la fermeture du processus d'installation en arrière-plan, et relancé le programme d'installation combiné.

Même problème: il se bloque à "Validing Packages ..."

résumer

Le seul correctif qui fonctionne est la suppression des trousseaux, mais vous devez le faire chaque fois que vous redémarrez ou sortez de la mise en veille prolongée. Il existe des preuves que ubd corrompt continuellement les fichiers de trousseau, mais le correctif ubd suggéré de supprimer ~ / Library / Application \ Support / Mob * et / Library / Application \ Support / Mob * ne résout pas ce problème.

De toute évidence, quelque chose est en train de corrompre le trousseau encore et encore.

Également publié sur les communautés d'assistance Apple .

Notre support technique Mac a réussi à exécuter DiskWarrior pour résoudre le problème. Aucun de ses clients n'a signalé le problème à ce jour.

MISE À JOUR:

J'ai trouvé une solution. Le problème se produit car le portail captif répond à TOUT. J'ai ajusté le DNS du portail captif pour donner de mauvais résultats pour les sites OCSP et CRL. J'ai utilisé 127.0.0.1 dans ce cas. Les demandes expirent maintenant au lieu de renvoyer des données incorrectes. Il fonctionne également localement en modifiant "/ private / etc / hosts" et en ajoutant des entrées comme celle-ci:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Les entrées correctes peuvent dépendre de l'autorité de certification du certificat. J'ai trouvé ces adresses en regardant la connexion à l'aide de Wireshark.

Puis-je ajouter que MobileMe est maintenant iCloud, le dossier n'est donc pas Application Support / Mobi *, mais plutôt Application Support / Ubiquity.

Supprimer cela, même si j'avais des résultats mitigés. Cela n'a fonctionné que 1/3 fois. La façon dont cela fonctionne est de supprimer:

~ / Bibliothèque / Porte-clés / login.keychain et /Library/Keychains/System.keychain

Rincez et répétez. Je ne suis pas complètement certain quand l'accès au trousseau se cassera, mais à un moment donné (généralement environ 3 jours pour moi), tout cesse de fonctionner.

Firefox semble contourner les choses et si vous ne voulez rien faire du tout, vous pouvez désactiver OCSP dans Firefox (about: config) juste pour vous connecter à votre portail sans fil, puis n'oubliez pas de le réactiver. Cela ne résoudra pas Safari ou Chrome (quel est le mot sur Opera?)

Mais la meilleure solution est de restaurer à 10.7.1 ou 10.7. Il se trouve que j'avais le fichier DMG plus tôt et c'était 10.7.1. Faire une «réinstallation» copie uniquement vos fichiers système Lion et conserve toute votre installation en forme. Vous réinstallez donc simplement le système d'exploitation, mais conservez TOUTES vos applications et données. Jusqu'à présent, cela a été parfait. N'oubliez pas de ne pas mettre à jour vers 10.7.2 si vous comptez revenir en arrière.

Désactiver les vérifications OCSP et CRL est une très mauvaise idée. Essentiellement, vous dites que vous ne vous souciez pas de la révocation des certificats. Ce n'est pas bon étant donné le nombre d'autorités de certification piratées ces jours-ci. C'est pourquoi Apple a amélioré sa sécurité pour les portails captifs. Le problème réside dans la connexion au portail captif lui-même. Si vous allez sur l'un, vous ne pouvez pas vérifier la CRL ou l'OCSP car (duh!) Vous êtes dans le portail captif. Celui qui fournit ce portail doit également percer des trous dans son pare-feu pour vous permettre de quitter le portail captif afin de vérifier les certificats que la page du portail captif https vous donne. Nous devions le faire sur notre système sans fil d'entreprise avant que Lion ne puisse aller nulle part.

Après des semaines de frustration avec ce problème récurrent (et en attendant qu'Apple publie un correctif), j'ai décidé de chercher une solution qui pourrait revenir à la mise à jour 10.7.2. Malheureusement, je n'ai trouvé aucun moyen de revenir à 10.7.1 ou 10.7.0.

J'ai donc décidé d'utiliser le Lion Recovery et de voir comment cela affecte la situation. J'ai effectué la procédure de récupération en suivant les étapes décrites dans cet article d'assistance Apple .

Je suis heureux d'annoncer maintenant que dans mon cas, le problème a (espérons-le) disparu! Pour une raison quelconque, même si le processus Lion Recovery a réinstallé OS X dans la version 10.7.2, je n'ai pas eu de problème avec le trousseau ou SSL depuis plus d'une semaine maintenant.

J'ai utilisé le mode de récupération en ligne et il semble que la version OS X téléchargée pendant le processus de récupération possède une sorte de configuration qui ne corrompe pas le trousseau. Le processus de récupération de Lion a été super fluide et je n'ai pas eu à réinstaller d'applications ni à récupérer des fichiers à partir d'une sauvegarde (je recommanderais quand même de faire des sauvegardes). Mon MacBook Pro est la version 5,1.

C'est la première fois pour moi que la mise à jour de sécurité d'Apple casse tellement OS X. Je me demande toujours pourquoi ils n'ont pas publié de correctif / mise à jour pour corriger ce problème.

(YMMV mais cela a fonctionné pour moi) - J'ai désactivé le réseau, redémarré pour tuer le problème du trousseau ou bien il gèle l'accès au trousseau, pas besoin de supprimer quoi que ce soit. Ensuite, j'ai désactivé l'OCSP et la CRL. J'ai activé le réseau ... Je me suis connecté à mon portail captif, puis j'ai tout réactivé.

Le problème est que le portail captif nécessite un certificat, mais bloque la chaîne de certificats. Merci pour l'autre qui suggère cela.

D'après mon expérience, cela ne se produit que lors de la connexion derrière un portail captif. Je pense que la raison en est que le système d'exploitation essaie de valider le certificat de la page de connexion du portail captif, mais le processus de validation nécessite un accès Internet. J'ai pu résoudre ce problème en ajoutant manuellement le certificat de la page du portail captif au trousseau et en le marquant comme toujours fiable.

Vous pouvez exporter le certificat avec les étapes suivantes:

1. Visitez la page du portail captif dans Firefox
2. Sélectionner Tools > Page Info > Security > View Certificate > Details > Export
3. Enregistrez le certificat sur votre disque dur avec l'extension ".crt"

Vous pouvez importer le certificat avec les étapes suivantes:

1. Ouvert Keychain Access.app
2. Faites glisser le certificat du Finder vers un trousseau
3. Double-cliquez sur le certificat et développez la section "Trust"
4. Choisissez "Lors de l'utilisation de ce certificat: Always Trust"
5. Fermez la fenêtre contextuelle

Si vous ne pouvez pas ouvrir l'accès au trousseau parce que votre trousseau est corrompu, désactivez la connexion sans fil, supprimez ~/Library/Keychains/login.keychainet /Library/Keychains/System.keychain, puis redémarrez.

J'ai trouvé le problème. Cela est dû au correctif de sécurité de 10.7.2 (détournement de portail captif de sécurité). Il est probable que l'un des réseaux auxquels vous êtes connecté possède un site portail, où vous pouvez entrer des données de connexion ... pour moi, c'était le réseau WiFi.

Pour résoudre ce problème pour l'instant, désactivez tous les réseaux, redémarrez, démarrez le trousseau, accédez aux préférences, certificats, désactivez OCSP et CRL. Redémarrez, activez vos réseaux et c'est parti ...

J'ai réussi en faisant le "correctif # 2" comme ci-dessus.

Dans le terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

puis redémarrez.

Une suggestion à la fin de https://discussions.apple.com/thread/3430739?start=0&tstart=0 semble indiquer que la procédure suivante résout le problème: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html