Das Update für Mac OS X Lion 10.7.2 bricht SSL ab

Zusammenfassung

Nach dem Update von 10.7.1 auf 10.7.2 können weder Safari noch Google Chrome GMail laden. Wirbelnde Beachballs.

Das Problem ist nicht GMail; Firefox lädt GMail ganz gut.

Das Problem ist nicht auf Safari oder Google Chrome beschränkt. Andere Anwendungen haben ebenfalls Probleme mit SSL: Gilgamesh und Safari. Jedes Programm, das WebKit (Google Chrome, Safari) oder eine Cocoa-Bibliothek (Gilgamesh) verwendet, um auf das Internet zuzugreifen, hat Probleme beim Laden sicherer Websites.

Die verschiedenen Online-Foren schlagen eine Handvoll Fehlerbehebungen vor, von denen keine funktioniert.

Analyse

Fix Nr. 1: Öffnen Sie Keychain Access.app und löschen Sie das unbekannte Zertifikat.

Das Update 10.7.2 verhindert außerdem, dass der Schlüsselbundzugriff geladen wird. Das Schlüsselbundprogramm selbst Spinning Beachballs.

Fix # 2: ~ / Library / Keychains / login.keychain und /Library/Keychains/System.keychain löschen.

Dies behebt das Problem vorübergehend und ermöglicht das Laden sicherer Sites. Ein oder zwei Minuten nach dem Neustart oder dem Ruhezustand hebt das Problem jedoch auf magische Weise auf, sodass Sie diese Dateien immer wieder löschen müssen.

Fix # 3: Löschen von ~ / Library / Application \ Support / Mob * und / Library / Application \ Support / Mob *.

Es gibt ein Gerücht, dass der neue MobileMe / iCloud-Dienst ubd das Problem verursacht. Dieses Update behebt das Problem nicht.

Fix Nr. 4: Öffnen Sie den Schlüsselbund, öffnen Sie die Einstellungen und deaktivieren Sie OCSP und CRL.

Dieses Update behebt das Problem nicht.

Fix Nr. 5: Verwenden Sie das Kombinationsinstallationsprogramm 10.7.0 -> 10.7.2 anstelle des Installationsprogramms 10.7.1 -> 10.7.2.

Wenn ich das Combo-Installationsprogramm ausführe , bleibt es für immer auf dem Bildschirm "Pakete validieren ...". Das Combo-Installationsprogramm selbst ist auf He || abgehört.

Ich habe das Installationsprogramm erzwungen, "sudo killall installd" ausgeführt, um den Hintergrundinstallationsprozess zu beenden, und das Kombinationsinstallationsprogramm erneut ausgeführt.

Selbes Problem: es bleibt bei "Validing Packages ..." stehen

Rekapitulieren

Das einzige Update, das funktioniert, ist das Löschen der Schlüsselbunde, aber Sie müssen dies jedes Mal tun, wenn Sie neu starten oder aus dem Ruhezustand aufwachen. Es gibt Hinweise darauf, dass ubd die Schlüsselbunddateien ständig beschädigt, aber das vorgeschlagene ubd-Update zum Löschen von ~ / Library / Application \ Support / Mob * und / Library / Application \ Support / Mob * behebt dieses Problem nicht.

Offensichtlich beschädigt etwas den Schlüsselbund immer und immer wieder.

Wird auch in den Apple Support Communities gepostet .

Unser Mac-Support hat erfolgreich DiskWarrior ausgeführt , um das Problem zu beheben. Keiner seiner Kunden hat berichtet, dass das Problem bisher erneut aufgetreten ist.

AKTUALISIEREN:

Ich habe eine Lösung gefunden. Das Problem tritt auf, weil das Captive-Portal auf ALLES antwortet. Ich habe den DNS des Captive-Portals angepasst, um schlechte Ergebnisse für OCSP- und CRL-Sites zu erzielen. In diesem Fall habe ich 127.0.0.1 verwendet. Die Anfragen laufen jetzt ab, anstatt falsche Daten zurückzugeben. Es funktioniert auch lokal, indem Sie "/ private / etc / hosts" ändern und Einträge wie diesen hinzufügen:

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

Die richtigen Einträge hängen möglicherweise von der Zertifizierungsstelle für das Zertifikat ab. Ich habe diese Adressen gefunden, als ich die Verbindung mit Wireshark beobachtet habe.

Könnte ich hinzufügen, dass MobileMe jetzt iCloud ist, der Ordner ist also nicht Application Support / Mobi *, sondern Application Support / Ubiquity.

Löschen Sie das, obwohl ich gemischte Ergebnisse hatte. Es hat nur 1/3 mal funktioniert. Die Art und Weise, die auf jeden Fall funktioniert, ist das Löschen:

~ / Library / Keychains / login.keychain und /Library/Keychains/System.keychain

Einfach ausspülen und wiederholen. Ich bin mir nicht ganz sicher, wann der Schlüsselbundzugriff unterbrochen wird, aber irgendwann (normalerweise nach ungefähr drei Tagen) funktioniert alles nicht mehr.

Firefox scheint die Dinge zu umgehen, und wenn Sie überhaupt nichts tun möchten, können Sie OCSP in Firefox (about: config) deaktivieren, um sich nur bei Ihrem drahtlosen Portal anzumelden, und dann daran denken, es wieder einzuschalten. Safari oder Chrome werden dadurch nicht repariert (wie heißt es in Opera?)

Die beste Lösung ist jedoch die Wiederherstellung auf 10.7.1 oder 10.7. Ich hatte zufällig die DMG-Datei von früher und es war 10.7.1. Bei einer Neuinstallation werden nur die Lion-Systemdateien kopiert und die gesamte Installation bleibt in Form. Sie müssen also nur das Betriebssystem neu installieren, aber ALLE Ihre Apps und Daten behalten. Bisher war das perfekt. Denken Sie daran, nicht auf 10.7.2 zu aktualisieren, wenn Sie ein Rollback durchführen möchten.

Das Deaktivieren von OCSP- und CRL-Prüfungen ist eine sehr schlechte Idee. Im Wesentlichen sagen Sie, dass Ihnen die Sperrung von Zertifikaten egal ist. Dies ist nicht gut angesichts der Anzahl der Zertifizierungsstellen, die heutzutage gehackt werden. Deshalb hat apple seine Sicherheit für Captive-Portale verbessert. Das Problem liegt in der unverlierbaren Portalverbindung selbst. Wenn Sie zu einem wechseln, können Sie nicht nach CRL oder OCSP suchen, da Sie sich (duh!) Im Captive-Portal befinden. Wer dieses Portal anbietet, muss auch Löcher in die Firewall stechen, damit Sie aus dem Captive-Portal heraus die Zertifikate überprüfen können, die die https-Captive-Portalseite für Sie bereitstellt. Wir mussten dies auf unserem drahtlosen Unternehmenssystem tun, bevor Lion irgendwohin gelangen konnte.

Nach wochenlangem Frust über dieses ständig wiederkehrende Problem (und darauf wartend, dass Apple ein Update veröffentlicht), entschied ich mich, nach einer Lösung zu suchen, die ein Rollback vom 10.7.2-Update ermöglichen würde. Leider konnte ich kein Rollback auf 10.7.1 oder 10.7.0 durchführen.

Ich habe mich daher entschlossen, Lion Recovery zu verwenden, um zu sehen, wie sich dies auf die Situation auswirkt. Ich habe das Wiederherstellungsverfahren anhand der in diesem Apple Support-Artikel beschriebenen Schritte durchgeführt .

Ich freue mich jetzt mitteilen zu können, dass in meinem Fall das Problem (hoffentlich) verschwunden ist! Aus irgendeinem Grund hatte ich seit über einer Woche keine Probleme mit Schlüsselbund oder SSL, obwohl der Lion-Wiederherstellungsprozess OS X wieder auf die Version 10.7.2 neu installiert hat.

Ich habe den Online-Wiederherstellungsmodus verwendet und es scheint, dass die während des Wiederherstellungsprozesses heruntergeladene OS X-Version über eine Einrichtung verfügt, die den Schlüsselbund nicht beschädigt. Der Lion Recovery-Prozess verlief reibungslos und ich musste keine Apps neu installieren oder Dateien aus dem Backup wiederherstellen (ich würde weiterhin empfehlen, Backups zu erstellen). Mein MacBook Pro ist Version 5,1.

Für mich ist es das erste Mal, dass das Sicherheitsupdate von Apple OS X so schwer beschädigt hat. Ich frage mich immer noch, warum sie kein Update veröffentlicht haben, um dieses Problem zu beheben.

(YMMV, aber es hat bei mir funktioniert) - Ich habe das Netzwerk deaktiviert, neu gestartet, um das Schlüsselbundproblem zu beseitigen, oder es blockiert den Schlüsselbundzugriff. Es ist nicht erforderlich, etwas zu löschen. Dann habe ich OCSP und CRL deaktiviert. Ich habe das Netzwerk aktiviert ... Ich habe eine Verbindung zu meinem Captive-Portal hergestellt und dann alles reaktiviert.

Problem ist, dass das Captive-Portal Zertifikate benötigt, aber die Zertifikatskette blockiert. Vielen Dank für den anderen Vorschlag.

Nach meiner Erfahrung geschieht dies nur, wenn eine Verbindung hinter einem Captive-Portal hergestellt wird. Ich denke, der Grund ist, dass das Betriebssystem versucht, das Zertifikat der Anmeldeseite des Captive-Portals zu validieren, der Validierungsprozess jedoch einen Internetzugang erfordert. Ich konnte dieses Problem beheben, indem ich das Zertifikat der unverlierbaren Portalseite manuell zum Schlüsselbund hinzufügte und als immer vertrauenswürdig markierte.

Sie können das Zertifikat mit den folgenden Schritten exportieren:

1. Besuchen Sie die Seite mit dem Captive-Portal in Firefox
2. Wählen Tools > Page Info > Security > View Certificate > Details > Export
3. Speichern Sie das Zertifikat auf Ihrer Festplatte mit der Erweiterung ".crt"

Sie können das Zertifikat mit den folgenden Schritten importieren:

1. Öffnen Keychain Access.app
2. Ziehen Sie das Zertifikat aus dem Finder in einen Schlüsselbund
3. Doppelklicken Sie auf das Zertifikat und erweitern Sie den Bereich "Trust"
4. Wählen Sie "Bei Verwendung dieses Zertifikats: Always Trust"
5. Schließen Sie das Popup-Fenster

Wenn Sie den Schlüsselbundzugriff nicht öffnen können, weil Ihr Schlüsselbund beschädigt ist, deaktivieren Sie die drahtlose Verbindung, löschen ~/Library/Keychains/login.keychainund starten Sie den Computer /Library/Keychains/System.keychainneu.

Ich habe das Problem gefunden. Dies wird durch das Sicherheitsupdate in 10.7.2 (Security Captive Portal Hijacking) verursacht. Es ist wahrscheinlich, dass eines der Netzwerke, mit denen Sie verbunden sind, eine Portal-Site hat, auf der Sie Anmeldedaten eingeben können. Für mich war es das WiFi-Netzwerk.

Um dieses Problem vorerst zu beheben, deaktivieren Sie alle Netzwerke, starten Sie den Computer neu, starten Sie den Schlüsselbund, gehen Sie zu Einstellungen, Zertifikaten, schalten Sie OCSP und CRL aus. Starten Sie neu, aktivieren Sie Ihre Netzwerke und los geht's ...

Ich habe es geschafft, indem ich "Fix # 2" wie oben ausgeführt habe.

Im Terminal:

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

und dann neu starten.

Ein Vorschlag am Ende von https://discussions.apple.com/thread/3430739?start=0&tstart=0 scheint darauf hinzudeuten, dass das folgende Verfahren das Problem behebt: http://www.macworld.com/article/163227/ 2011/10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html