Question:
Comment remplacer les certificats racine et intermédiaires manquants dans Mac OS X v10.8
joe_04_04
2017-01-25 16:07:53 UTC
view on stackexchange narkive permalink

Permettez-moi de commencer par le fait que je ne connais rien à la mise en réseau / à la sécurité / etc. Deux fois maintenant, j'ai eu des problèmes avec les certificats racine qui ne fonctionnaient pas et des erreurs, même s'ils sont toujours valides.

Voici le lien vers mon dernier message qui a été corrigé après une mise à jour du système d'exploitation (à ce stade, je ne peux plus mettre à jour, car mon système est gelé en fonction d'un logiciel plus ancien qui le nécessite).

Safari ne peut pas vérifier l'identité des erreurs du site Web

Maintenant, le même problème s'est reproduit et je ne sais pas quoi faire. Je craignais qu'il ne s'agisse d'une attaque MiTM, mais je ne savais pas quoi faire pour y remédier à ce stade. J'ai supprimé la clé en question qui avait un x rouge à côté dans le trousseau et j'ai essayé de réinstaller les clés via Pacifist, mais cela ne fonctionne toujours pas (aussi, je ne vois pas la clé maintenant après avoir utilisé la méthode Pacifist, donc je ne suis pas je sais comment le récupérer, mais les sites Web génèrent toujours des erreurs.

enter image description here

Si quelqu'un a des suggestions pour résoudre le problème (car je voudrais accéder en toute sécurité à certains sites Web qui l'exigent), ou une solution au problème global, je serais EXTRÊMEMENT heureux (j'offrirai des points de réputation dès car l'option est ouverte ou enverra directement, si c'est possible, si quelqu'un m'aide à résoudre ce problème plus tôt que cela).

Je suis actuellement sous OS 10.8.5.

MODIFIER:
Je l'ai installé et il est maintenant indiqué, sous "InCommon RSA Standard Assurance Client CA" - Ce certificat a été signé par une autorité inconnue. "J'ai également 3 à 4 autres certificats de connexion qui montrent des erreurs, chacun d'eux a une sorte de message relatif à "InCommon RSA Standard Assurance Client CA." Étrangement, il y a un autre certificat qui ne montre aucune erreur qui est signé par l'AC InCommon RSA Standard Assurance CLient, mais avec une date d'expiration différente. Je suis perdu. Je peux publier des photos de toutes les erreurs si nécessaire.

MISE À JOUR: Mise à niveau de 10.8.5 à 10.10.5. Les problèmes de certificat persistent.

Dans un 10.8.5 presque vanillé j'obtiens un feu vert ici!Il vous manque un "AddTrust External CA Root" (émis le 30 mai 2000) comme certificat racine dans toute la chaîne de certificats.
Je l'ai supprimé car il était marqué comme expiré, même si la date d'expiration n'avait pas été dépassée.
Vous pouvez le télécharger [ici (lien direct d / l)] (http://crl.comodoca.com/AddTrustExternalCARoot.crl).Il affiche les mêmes valeurs (y compris sha / md5 bien sûr) que dans mon système ML et vous pouvez l'ajouter à votre trousseau System-Roots.
Merci @klanomath, pour votre aide, mais j'ai essayé de l'importer et le message dans le trousseau disait "Une erreur s'est produite, impossible d'importer un élément: Le contenu de cet élément ne peut pas être récupéré."Le fichier que vous aviez à télécharger s'appelait "AddTrustExternalCARoot.crl" Est-ce correct?
Je vous recommande de savoir si vous rencontrez réellement une attaque d'homme au milieu avant de traiter cela comme le problème auquel vous êtes confronté.Voir http://security.stackexchange.com/questions/93869/detecting-a-mitm-attack
Qu'est-ce qui vous a fait penser que vous viviez une attaque de Man in the Middle?Et pouvez-vous détailler certaines (autant que possible) des mesures que vous avez déjà prises?
@AlistairMcMillan - Eh bien, je ne suis pas entièrement sûr.Je ne sais pas avec certitude que je subis une attaque MITM, mais j'avais des certificats aléatoires qui «expiraient», même si la date d'expiration n'avait pas été dépassée (dans certains cas, des années après l'expiration).Les sites Web seraient signalés comme "nuisibles" en raison de ces certifications expirées (qui n'étaient pas au-delà de leur date d'expiration).Quelques bons types de réseautage ont mentionné qu'il "pourrait" s'agir d'une attaque MITM.Bien que le vérifier, c'est un peu au-dessus de ma tête.Je suis étudiant en informatique, mais ce réseautage n'est pas le domaine que j'étudie (je suis plutôt du côté de la programmation).
@AlistairMcMillan-I a essayé les étapes répertoriées dans le précédent article SO que j'ai rédigé, qui comprenait l'utilisation de Pacifist pour extraire les certifications et essayer d'importer, mais ce processus est toujours vague car parfois l'importation ne fonctionne pas, d'autres fois cela fonctionne, mais je ne le fais pas 't voir les nouveaux certificats apparaître ou des erreurs se produisent.J'ai également fini par mettre à jour (lors du premier post) de 10.8.4 à 10.8.5, mais le problème est revenu.Enfin, j'ai bêtement supprimé certains certificats, pensant que je pourrais facilement en télécharger de nouveaux auprès de fournisseurs, mais je n'avais aucune idée que ce n'était pas si simple, j'ai juste lu ailleurs que vous pouviez supprimer les certificats expirés.
À ce stade, je veux simplement me débarrasser de toutes les erreurs de certificat expirées et avoir un accès sécurisé à tous les sites Web auxquels j'avais un accès sécurisé auparavant.J'augmenterai la prime à 100 points si je ne trouve pas d'aide pendant cette ronde de primes.
Cinq réponses:
#1
+3
konqui
2017-01-28 15:11:13 UTC
view on stackexchange narkive permalink

Il ne faut jamais supprimer un certificat racine.

Et vous ne devez jamais supprimer un certificat racine qui a été marqué comme non valide avant que sa date d'expiration ne soit atteinte.

Il y avait une raison pour laquelle il a été marqué comme non valide.

Principalement parce que l'émetteur du certificat le marque comme invalide (cela aurait pu être fait parce qu'il a été piraté ou quoi que ce soit aurait pu compromettre son certificat racine).

Maintenant, vous / votre navigateur ne possédez pas de certificat racine, donc vous / votre navigateur ne pouvez pas valider un certificat approuvé par cette racine.

Cela dépend donc du navigateur et de la manière dont il gère les certificats d'une racine qu'il ne connaît pas.

Si le navigateur agit correctement, il vous montrera chaque certificat basé sur cette racine comme invalide, mais certains navigateurs (du moins dans le passé) ne l'ont pas géré correctement et auraient montré des certificats sans racine qu'ils savent comme valides.

-1 parce que ce que vous avez écrit me paraît trop condescendant.Ce n'est pas non plus une réponse à la question, qui demandait explicitement des suggestions pour résoudre le problème.
Pour être juste, c'est un excellent conseil.Condescendance?Je ne le vois pas.OP a supprimé un certificat racine invalide / révoqué.J'ai fait cette erreur.Je l'avais oublié jusqu'à ce que je lis ceci.La meilleure solution à un problème est de ne pas l'avoir.+1.
#2
+2
Alistair McMillan
2017-02-02 03:57:18 UTC
view on stackexchange narkive permalink

Ma première meilleure option serait de sauvegarder vos fichiers, d'effacer entièrement la machine et de réinstaller le système d'exploitation à partir de bons supports connus. D'autant plus que vous dites que ce problème dure depuis un certain temps et que vous ne pouvez pas vous souvenir de toutes les modifications que vous avez apportées. C'est l'option la plus rapide et la plus sûre.

Si ce n'est pas une option, vous devez télécharger et remplacer tous les certificats racine qui ont été supprimés. Recherchez une machine en laquelle vous avez confiance et utilisez-la pour télécharger les certificats racine ou intermédiaires à partir de sites fiables. Chaque fois que vous recevez un message disant "... signé par un émetteur non approuvé", vous devez localiser le certificat qui a été utilisé pour le signer, le télécharger et l'installer. C'est la seule façon de se débarrasser de ces erreurs. Désolé, mais il n’existe pas de solution rapide pour réparer ces dégâts.

Enfin, je voudrais serieusement, fortement recommande la mise à jour vers la version la plus récente de macOS qui sera installée sur votre Mac. Vous semblez préoccupé par la sécurité. Exécuter un système d'exploitation qu'Apple a arrêté de corriger (c'est-à-dire abandonné) en août 2015 n'est pas une bonne idée. Si vous ne parvenez pas à utiliser 10.8.5 parce que des logiciels n'ont pas été mis à jour, il est temps de les supprimer ou même de publier des questions ici pour obtenir de l'aide, soit pour les faire travailler sur les nouvelles versions de macOS, soit pour trouver des remplacements. >

J'adorerais pouvoir mettre à niveau mon Mac, mais ce n'est pas quelques logiciels, c'est des centaines.Je l'utilise pour la production en studio et j'utilise une ancienne version d'outils professionnels avec des plugins audio plus anciens.L'argent total provenant de la mise à niveau de mes plugins et de ma plate-forme PT serait de plusieurs milliers.Ça craint vraiment d'être figé sur ce système d'exploitation.J'ai un MacBook Air totalement propre exécutant la dernière version de Sierra, dois-je essayer d'obtenir ces certificats?Existe-t-il une bonne procédure pour cela?
Il peut être disposé à mettre à niveau vers la dernière version du système d'exploitation prise en charge par Pro Tools 11 (10.10.5)
Mis à jour du 10.8.5 au 10.10.5.Les certificats sont toujours foutus.
@joe_04_04 Heureux d'apprendre que vous avez franchi le pas vers un système d'exploitation qui reçoit toujours des mises à jour de sécurité, mais désolé si je n'ai pas été clair.Je voulais dire que vous devriez essuyer la machine et installer une version plus récente du système d'exploitation, pas seulement une mise à niveau en place.
Une installation en "mode de récupération" suffirait-elle?Je suppose que la mise à niveau combinée de 10.8.5 à 10.10.5 n'a rien installé concernant les porte-clés, car rien n'a été changé, mais une installation en mode de récupération devrait entièrement remplacer l'ensemble du système d'exploitation, et pas seulement en ajouter une partie comme un combola mise à jour le fait.Je sais que ce n'est TOUJOURS pas aussi bon que d'essuyer la machine et de faire une installation propre, puis de réinstaller chaque élément tel qu'il était, mais j'ai littéralement tellement installé pour mon home studio que cela prendrait des semaines, sinonmois sur ma connexion à bas débit pour le réparer de la même manière (ou fermer).
Maintenant que j'ai le dernier système d'exploitation avec lequel je suis à l'aise, cette version du système d'exploitation sera reconnue lors d'une installation en mode de récupération et remplacée.
#3
+1
johnny bofh
2017-01-28 15:56:58 UTC
view on stackexchange narkive permalink

Téléchargez et installez la racine de l'autorité de certification externe AddTrust qui est liée à partir de Comodo.

Je l'ai installé et il est maintenant indiqué, sous "InCommon RSA Standard Assurance Client CA" - Ce certificat a été signé par une autorité inconnue. "J'ai également 3 à 4 autres certificats de connexion qui montrent des erreurs, chacun d'eux a une sorte demessage à propos de "InCommon RSA Standard Assurance Client CA"
#4
+1
Kumis Mala
2018-06-07 03:25:50 UTC
view on stackexchange narkive permalink

Je comprends que vous souhaitez réparer vos certificats Apple et je suis désolé que vous rencontriez des problèmes. Tout d'abord, vous devez comprendre à quoi les certificats étaient destinés à l'origine et ce qu'ils sont devenus dans la nouvelle économie moderne de l'Internet proxy 3D axé sur les entreprises. Un certificat est un fichier texte qui contient généralement 1024 2048 caractères, etc. En d'autres termes, les certificats racine et utilisateur ne sont que deux fichiers texte distincts qui maintiennent une relation mathématique.

Allez-y et comparez le processus d'installation du certificat pour Google Android Studio et Xcode iTunes Submit. Avec Xcode, vous avez besoin d'une ferme de bananiers interministérielle de déchets de certificats chez Apple pour être opérationnel. Google est un téléchargement et cliquez.

Maintenant, je déteste vous dire cela, mais vous devez casser le moteur de certificat dans OSX avec un correctif Linux, car la seule façon pour le certificat racine d'Apple de créer des mathématiques pyramidales pour approuver votre certificat est si votre mac est sous garantie.

Gardez également à l'esprit que si vous êtes au Royaume-Uni, il est illégal de participer à un plan d'obsolescence planifié tel que l'utilisation abusive illégale d'Apple des certificats de données comme technologie de liste noire.

Bonne chance!

#5
  0
bbaassssiiee
2017-02-02 12:14:24 UTC
view on stackexchange narkive permalink

Téléchargez Firefox, il possède son propre magasin de certificats CA Root.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...