Frage:
So ersetzen Sie fehlende Stamm- und Zwischenzertifikate in Mac OS X 10.8
joe_04_04
2017-01-25 16:07:53 UTC
view on stackexchange narkive permalink

Lassen Sie mich dies mit der Tatsache vorwegnehmen, dass ich nichts über Netzwerk / Sicherheit / usw. weiß. Zweimal hatte ich Probleme mit Root-Zertifikaten, die nicht funktionierten und Fehler auslösten, obwohl sie noch gültig sind.

Hier ist der Link zu meinem letzten Beitrag, der nach einem Update des Betriebssystems behoben wurde (derzeit kann ich nicht weiter aktualisieren, da mein System aufgrund älterer Software, die dies erfordert, eingefroren ist).

Safari kann die Identität der Website-Fehler nicht überprüfen

Nun ist das gleiche Problem erneut aufgetreten und ich kann nicht herausfinden, was ich tun soll. Ich habe mir Sorgen gemacht, dass dies ein MiTM-Angriff ist, wusste aber zu diesem Zeitpunkt nicht, was ich tun sollte, um ihn zu beheben. Ich habe den fraglichen Schlüssel gelöscht, neben dem ein rotes x im Schlüsselbund steht, und habe versucht, die Schlüssel über Pacifist neu zu installieren, aber er funktioniert immer noch nicht (außerdem sehe ich den Schlüssel jetzt nicht, nachdem ich die Pacifist-Methode verwendet habe, also bin ich es nicht sicher, wie man es zurückbekommt, aber die Websites werfen immer noch Fehler.

enter image description here

Wenn jemand Vorschläge zur Behebung des Problems (da ich sicher auf einige Websites gelangen möchte, die dies erfordern) oder eine Lösung für das Gesamtproblem hat, wäre ich EXTREM glücklich (ich werde so bald Reputationspunkte anbieten da die Option offen ist oder direkt gesendet wird, wenn dies möglich ist, wenn mir jemand hilft, dies früher zu beheben).

Ich bin derzeit unter OS 10.8.5.

BEARBEITEN:
Ich habe es installiert und es steht jetzt unter "InCommon RSA Standard Assurance Client-Zertifizierungsstelle" - Dieses Zertifikat wurde von einer unbekannten Behörde signiert. "Ich habe auch 3 bis 4 andere Anmeldezertifikate, die Fehler anzeigen, von denen jedes eine Art hat Nachricht über die "InCommon RSA Standard Assurance Client-Zertifizierungsstelle". Seltsamerweise gibt es ein anderes Zertifikat, das keine Fehler anzeigt, die von der InCommon RSA Standard Assurance-Client-Zertifizierungsstelle signiert wurden, aber ein anderes Ablaufdatum haben. Ich bin verloren. Ich kann Fotos posten von allen Fehlern, falls erforderlich.

UPDATE: Upgrade von 10.8.5 auf 10.10.5. Zertifikatprobleme bestehen weiterhin.

In einer fast Vanille 10.8.5 bekomme ich hier grünes Licht!In der gesamten Zertifikatskette fehlt ein "AddTrust External CA Root" (ausgestellt am 30. Mai 2000) als Stammzertifikat.
Ich habe es gelöscht, weil es als abgelaufen markiert wurde, obwohl das Ablaufdatum nicht überschritten wurde.
Sie können es herunterladen [hier (direkter d / l-Link)] (http://crl.comodoca.com/AddTrustExternalCARoot.crl).Es zeigt die gleichen Werte (einschließlich sha / md5 natürlich) wie in meinem ML-System und Sie können es Ihrem System-Roots-Schlüsselbund hinzufügen.
@klanomath, bedankt sich für Ihre Hilfe, aber ich habe versucht, sie zu importieren, und in der Meldung im Schlüsselbund heißt es: "Es ist ein Fehler aufgetreten, ein Artikel kann nicht importiert werden: Der Inhalt dieses Artikels kann nicht abgerufen werden."Die Datei, die Sie zum Herunterladen hatten, hieß "AddTrustExternalCARoot.crl". Ist das richtig?
Ich würde empfehlen, herauszufinden, ob Sie tatsächlich einen Mann im mittleren Angriff erleben, bevor Sie dies als das Problem ansprechen, mit dem Sie konfrontiert sind.Siehe http://security.stackexchange.com/questions/93869/detecting-a-mitm-attack
Warum hast du gedacht, du hättest einen Mann im mittleren Angriff erlebt?Und können Sie einige (so viele) der Schritte, die Sie bereits unternommen haben, detailliert beschreiben?
@AlistairMcMillan - Nun, ich bin mir nicht ganz sicher.Ich weiß nicht genau, ob ich einen MITM-Angriff habe, aber ich hatte zufällige Zertifikate, die "abgelaufen" sind, obwohl das Ablaufdatum nicht überschritten wurde (in einigen Fällen Jahre vor dem Ablauf).Websites würden aufgrund dieser abgelaufenen Zertifizierungen (die nicht über das Ablaufdatum hinausgingen) als "schädlich" gekennzeichnet.Ein paar gute Networking-Typen erwähnten, dass es sich möglicherweise um einen MITM-Angriff handelt.Obwohl ich es überprüfe, ist es etwas über meinem Kopf.Ich bin ein Informatikstudent, aber dieses Networking ist nicht das Fach, das ich studiere (ich beschäftige mich mehr mit Programmieren).
@AlistairMcMillan-I hat die im vorherigen SO-Beitrag aufgeführten Schritte ausprobiert, einschließlich der Verwendung von Pacifist zum Extrahieren der Zertifizierungen und zum Importieren. Dieser Vorgang ist jedoch immer vage, da der Import manchmal nicht funktioniert, manchmal funktioniert er, aber ich nicht.Die neuen Zertifikate werden nicht angezeigt, oder es treten Fehler auf.Ich habe auch (zurück während des ersten Beitrags) von 10.8.4 auf 10.8.5 aktualisiert, aber das Problem kam zurück.Zuletzt habe ich törichterweise einige Zertifikate gelöscht, weil ich dachte, ich könnte leicht neue von Anbietern herunterladen, aber ich hatte keine Ahnung, dass es nicht so einfach ist. Ich habe nur an anderer Stelle gelesen, dass Sie abgelaufene Zertifikate löschen können.
An dieser Stelle möchte ich nur alle abgelaufenen Zertifikatfehler beseitigen und sicheren Zugriff auf alle Websites haben, auf die ich zuvor sicheren Zugriff hatte.Ich werde das Kopfgeld auf 100 Punkte erhöhen, wenn ich während dieser Kopfgeldrunde keine Hilfe finde.
Fünf antworten:
konqui
2017-01-28 15:11:13 UTC
view on stackexchange narkive permalink

Ein Stammzertifikat sollte niemals gelöscht werden.

Und Sie sollten niemals ein Stammzertifikat löschen, das als ungültig markiert wurde, bevor sein Ablaufdatum erreicht wurde.

Es gab einen Grund, warum es als ungültig markiert wurde.

Meistens, weil der Aussteller des Zertifikats es als ungültig markiert hat (dies könnte geschehen sein, weil er gehackt wurde oder was auch immer sein Stammzertifikat gefährdet haben könnte).

Jetzt haben Sie / Ihr Browser kein Stammzertifikat, sodass Sie / Ihr Browser kein Zertifikat validieren können, dem dieser Stamm vertraut.

Es hängt also vom Browser ab und davon, wie er mit Zertifikaten eines Stamms umgeht, den er nicht kennt.

Wenn der Browser korrekt handelt, zeigt er Ihnen jedes auf diesem Stamm basierende Zertifikat als ungültig an, aber einige Browser (zumindest in der Vergangenheit) haben dies nicht korrekt behandelt und Zertifikate ohne einen Stamm angezeigt, den sie als gültig kennen.

-1 weil das, was du geschrieben hast, mir übermäßig herablassend vorkommt.Es ist auch keine Antwort auf die Frage, die ausdrücklich nach Vorschlägen zur Behebung des Problems gefragt hat.
Um fair zu sein, ist dies ein ausgezeichneter Rat.Herablassung?Ich sehe es nichtOP hat ein ungültiges / widerrufenes Stammzertifikat gelöscht.Ich habe diesen Fehler gemacht.Ich hatte es vergessen, bis ich es gelesen hatte.Die beste Lösung für ein Problem ist, es nicht zu haben.+1.
Alistair McMillan
2017-02-02 03:57:18 UTC
view on stackexchange narkive permalink

Meine erste beste Option wäre, Ihre Dateien zu sichern, den Computer vollständig zu löschen und das Betriebssystem von bekanntermaßen guten Medien neu zu installieren. Zumal Sie sagen, dass dieses Problem schon eine Weile besteht und Sie sich nicht an alle vorgenommenen Änderungen erinnern können. Dies ist die schnellste und sicherste Option.

Wenn dies keine Option ist, müssen Sie alle gelöschten Stammzertifikate herunterladen und ersetzen. Suchen Sie einen Computer, dem Sie vertrauen, und laden Sie damit die Stamm- oder Zwischenzertifikate von vertrauenswürdigen Sites herunter. Jedes Mal, wenn Sie die Meldung "... von einem nicht vertrauenswürdigen Aussteller signiert" erhalten, müssen Sie das zum Signieren verwendete Zertifikat suchen, herunterladen und installieren. Nur so können diese Fehler behoben werden. Entschuldigung, aber es gibt keine schnelle Lösung, mit der dieser Schaden behoben werden kann.

Zuletzt würde ich seriously, stark empfehlen, auf die neueste Version von macOS zu aktualisieren, die auf Ihrem Mac installiert wird. Sie scheinen sich Sorgen um die Sicherheit zu machen. Es ist keine gute Idee, ein Betriebssystem auszuführen, das Apple im August 2015 nicht mehr gepatcht (d. H. Aufgegeben) hat. Wenn Sie mit 10.8.5 nicht weiterkommen, weil Software-Teile nicht aktualisiert wurden, ist es an der Zeit, sie zu löschen oder Fragen hier zu posten, um Hilfe zu erhalten, damit sie entweder auf neueren Versionen von macOS funktionieren oder Ersatz finden. P. >

Ich würde gerne meinen Mac aktualisieren können, aber es sind nicht nur wenige Software-Teile, sondern Hunderte.Ich benutze es für die Studioproduktion und verwende eine ältere Version von Pro-Tools mit älteren Audio-Plugins.Das gesamte Geld allein für das Upgrade meiner Plugins und meines PT-Rigs würde in den Tausenden liegen.Es ist wirklich schade, auf diesem Betriebssystem eingefroren zu sein.Ich habe ein MacBook Air, das mit der neuesten Version von Sierra völlig sauber ist. Sollte ich versuchen, diese Zertifikate zu erhalten?Gibt es dafür ein gutes Verfahren?
Möglicherweise ist ein Upgrade auf die letzte Version des Betriebssystems möglich, das von Pro Tools 11 (10.10.5) unterstützt wird.
Aktualisiert von 10.8.5 auf 10.10.5.Zertifikate sind immer noch vermasselt.
@joe_04_04 Freut mich zu hören, dass Sie den Sprung zu einem Betriebssystem geschafft haben, das noch Sicherheitsupdates erhält, aber es tut mir leid, wenn ich nicht klar war.Ich meinte, Sie sollten den Computer löschen und eine neuere Version des Betriebssystems installieren, nicht nur ein Upgrade durchführen.
Würde eine Installation im "Wiederherstellungsmodus" ausreichen?Ich gehe davon aus, dass das Combo-Upgrade von 10.8.5 auf 10.10.5 nichts mit Schlüsselanhängern zu tun hatte, da nichts geändert wurde. Eine Installation im Wiederherstellungsmodus sollte jedoch das gesamte Betriebssystem vollständig ersetzen und nicht nur wie eine Combo zu einem Teil hinzufügenUpdate tut.Ich weiß, dass dies NOCH nicht so gut ist, als die Maschine abzuwischen und eine Neuinstallation durchzuführen und dann jedes einzelne Element wieder so zu installieren, wie es war, aber ich habe buchstäblich so viel für mein Heimstudio installiert, dass es Wochen dauern würde, wenn nichtMonate auf meiner Verbindung mit niedrigerer Geschwindigkeit, um sie auf die gleiche Weise zu reparieren (oder zu schließen).
Nachdem ich das neueste Betriebssystem habe, mit dem ich vertraut bin, wird diese Betriebssystemversion während einer Installation im Wiederherstellungsmodus erkannt und ersetzt.
johnny bofh
2017-01-28 15:56:58 UTC
view on stackexchange narkive permalink

Laden Sie das AddTrust External CA Root herunter und installieren Sie es, das über Comodo verlinkt ist.

Ich habe es installiert und es steht jetzt unter "InCommon RSA Standard Assurance Client-Zertifizierungsstelle" - Dieses Zertifikat wurde von einer unbekannten Behörde signiert. "Ich habe auch 3 bis 4 andere Anmeldezertifikate, die Fehler anzeigen, von denen jedes eine Art hatMeldung zur "InCommon RSA Standard Assurance Client-Zertifizierungsstelle"
Kumis Mala
2018-06-07 03:25:50 UTC
view on stackexchange narkive permalink

Ich verstehe, dass Sie Ihre Apple-Zertifikate reparieren möchten, und es tut mir leid, dass Sie Probleme haben. Zunächst müssen Sie verstehen, wofür Zertifikate ursprünglich gedacht waren und was sie in der neuen modernen Wirtschaft des unternehmensgesteuerten 3D-Proxy-Internets geworden sind. Ein Zertifikat ist eine Textdatei mit normalerweise 1024 2048 usw. Zeichen. Mit anderen Worten, Root- und Benutzerzertifikate sind nur zwei separate Textdateien, die eine mathematische Beziehung aufrechterhalten.

Vergleichen Sie den Zertifikatinstallationsprozess für Google Android Studio und Xcode iTunes Submit. Mit Xcode benötigen Sie eine abteilungsübergreifende Bananenfarm mit Zertifikatmüll bei Apple, um den Betrieb aufzunehmen. Google ist ein Download und klicken.

Jetzt muss ich Ihnen das nur ungern sagen, aber Sie müssen die Zertifikat-Engine in OSX mit einem Linux-Patch unterbrechen, da das Stammzertifikat bei Apple nur dann eine Pyramidenmathematik erstellt, um Ihr Zertifikat zu genehmigen, wenn Ihr Mac unter Garantie steht.

Denken Sie auch daran, dass es illegal ist, an einem geplanten Veralterungsplan wie dem illegalen Missbrauch von Datenzertifikaten durch Apples als Blacklisting-Technologie teilzunehmen, wenn Sie sich im Vereinigten Königreich befinden.

Viel Glück!

bbaassssiiee
2017-02-02 12:14:24 UTC
view on stackexchange narkive permalink

Laden Sie Firefox herunter, es hat einen eigenen CA Root-Zertifikatspeicher.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...