Mac OS X Lion 10.7.2 업데이트로 SSL이 깨짐

요약

10.7.1에서 10.7.2로 업데이트 한 후에는 Safari 나 Chrome에서 Gmail을로드 할 수 없습니다. 회전하는 비치 볼.

문제는 Gmail이 아닙니다. Firefox는 GMail을 정상적으로로드합니다.

이 문제는 Safari 또는 Chrome에만 국한되지 않습니다. Gilgamesh 및 Safari와 같은 다른 응용 프로그램에서도 SSL에 문제가 있습니다. WebKit (Google Chrome, Safari) 또는 Cocoa 라이브러리 (Gilgamesh)를 사용하여 인터넷에 액세스하는 모든 프로그램은 보안 사이트를로드하는 데 문제가 있습니다.

온라인의 다양한 포럼은 소수의 수정 사항을 제안하지만 어느 것도 작동하지 않습니다.

분석

수정 # 1 : Keychain Access.app를 열고 알 수없는 인증서를 삭제하십시오.

10.7.2 업데이트는 또한 Keychain Access가로드되지 않도록합니다. 키 체인 프로그램 자체 Spinning Beachballs.

수정 # 2 : ~ / Library / Keychains / login.keychain 및 /Library/Keychains/System.keychain을 삭제하십시오.

이렇게하면 문제가 일시적으로 해결되고 보안 사이트를로드 할 수 있지만 재부팅하거나 최대 절전 모드를 종료 한 후 1 ~ 2 분 정도 지나면 수정 사항이 마술처럼 취소되므로 이러한 파일을 계속 삭제해야합니다.

수정 사항 # 3 : ~ / Library / Application \ Support / Mob * 및 / Library / Application \ Support / Mob *을 삭제하십시오.

새로운 MobileMe / iCloud 서비스 ubd가 문제를 일으키는 소문이 있습니다. 이 수정은 문제를 해결하지 않습니다.

수정 사항 4 : 키 체인 접근 열기, 환경 설정 열기, OCSP 및 CRL 비활성화

이 수정은 문제를 해결하지 않습니다.

수정 사항 # 5 : 10.7.1-> 10.7.2 설치 프로그램 대신 10.7.0-> 10.7.2 콤보 설치 프로그램을 사용하십시오.

콤보 설치 프로그램을 실행하면 "Validating Packages ..."화면에 계속 유지됩니다. 콤보 설치 프로그램 자체는 He ||에 버그가 있습니다.

설치 프로그램을 강제 종료하고 "sudo killall installd"를 실행하여 백그라운드 설치 프로그램 프로세스를 강제 종료 한 다음 콤보 설치 프로그램을 다시 실행했습니다.

같은 문제 : "Validing Packages ..."에 멈춤

요약

작동하는 유일한 수정은 키 체인을 삭제하는 것이지만 재부팅하거나 최대 절전 모드를 해제 할 때마다이 작업을 수행해야합니다. ubd가 키 체인 파일을 지속적으로 손상 시킨다는 증거가 있지만 ~ / Library / Application \ Support / Mob * 및 / Library / Application \ Support / Mob *을 삭제하는 제안 된 ubd 수정으로이 문제가 해결되지 않습니다.

분명히 무언가가 계속해서 열쇠 고리를 손상시키고 있습니다.

Apple 지원 커뮤니티 에도 게시되어 있습니다.

Mac 지원 담당자가 문제를 해결하기 위해 DiskWarrior 를 성공적으로 실행했습니다 . 그의 고객 중 어느 누구도 지금까지 문제가 다시 발생했다고보고하지 않았습니다.

최신 정보:

나는 픽스를 알아 냈습니다. 캡 티브 포털이 모든 것에 응답하기 때문에 문제가 발생합니다. OCSP 및 CRL 사이트에 나쁜 결과를 제공하기 위해 포로 포털의 DNS를 조정했습니다. 이 경우 127.0.0.1을 사용했습니다. 잘못된 데이터를 반환하는 대신 요청 시간이 초과되었습니다. 또한 "/ private / etc / hosts"를 변경하고 다음과 같은 항목을 추가하여 로컬로 작동합니다.

127.0.0.1    crl.usertrust.com
127.0.0.1    ocsp.usertrust.com
127.0.0.1    crl.incommon.org
127.0.0.1    ocsp.incommon.org

올바른 항목은 인증서의 CA에 따라 다를 수 있습니다. Wireshark를 사용하여 연결을 보면서이 주소를 찾았습니다.

MobileMe가 iCloud이므로 폴더가 Application Support / Mobi *가 아니라 Application Support / Ubiquity가 될 수 있습니다.

결과가 혼합되었지만 삭제하십시오. 1/3 번만 작동했습니다. 확실히 작동하는 방식은 삭제하는 것입니다.

~ / Library / Keychains / login.keychain 및 /Library/Keychains/System.keychain

헹구고 반복하십시오. 키 체인 접근이 언제 중단 될지는 확실하지 않지만 어느 시점에서 (보통 3 일 정도) 모든 것이 작동을 멈 춥니 다.

Firefox는 문제를 해결하는 것으로 보이며, 아무 것도 원치 않으면 Firefox에서 OCSP를 끄고 (about : config) 무선 포털에 로그인 한 다음 다시 켜십시오. 그래도 Safari 또는 Chrome은 수정되지 않습니다 (오페라의 단어는 무엇입니까?)

그러나 가장 좋은 해결책은 10.7.1 또는 10.7로 복원하는 것입니다. 나는 이전부터 DMG 파일을 가지고 있었고 10.7.1이었습니다. "재설치"를 수행하면 Lion 시스템 파일 만 복사되고 전체 설치 형태가 유지됩니다. 따라서 실제로 OS를 다시 설치하고 모든 앱과 데이터를 유지합니다. 지금까지 이것은 완벽했습니다. 롤백하려면 10.7.2로 업데이트하지 마십시오.

OCSP 및 CRL 검사를 끄는 것은 매우 나쁜 생각입니다. 기본적으로 인증서 해지를 신경 쓰지 않는다고 말합니다. 요즘 해킹당하는 인증 기관의 수가 많기 때문에 이것은 좋지 않습니다. 애플이 캡 티브 포털의 보안을 업그레이드 한 이유입니다. 문제는 캡 티브 포털 연결 자체에 있습니다. 하나에 가면 포로 포털에 있기 때문에 CRL 또는 OCSP를 확인할 수 없습니다. 이 포털을 제공하는 사람은 방화벽에 구멍을 뚫어 캡 티브 포털에서 https 캡 티브 포털 페이지가 제공하는 인증서를 확인할 수 있도록해야합니다. Lion은 어디에서나 도착하기 전에 엔터프라이즈 무선 시스템에서이 작업을 수행해야했습니다.

이 지속적으로 반복되는 문제 (Apple에서 수정 사항을 발표하기를 기다리는 중)로 몇 주 동안 좌절 한 후 10.7.2 업데이트에서 롤백 할 솔루션을 찾기로 결정했습니다. 불행히도 10.7.1 또는 10.7.0으로 롤백하는 방법을 찾지 못했습니다.

따라서 Lion Recovery를 사용하기로 결정하고 이것이 상황에 어떤 영향을 미치는지 확인했습니다. 이 Apple 지원 기사에 설명 된 단계에 따라 복구 절차를 수행했습니다 .

제 경우에는 문제가 (희망스럽게) 사라 졌다는 것을 알게되어 기쁩니다! 어떤 이유로, Lion Recovery 프로세스가 OS X를 10.7.2 버전으로 다시 설치했지만 1 주일 이상 Keychain 또는 SSL에 아무런 문제가 없었습니다.

온라인 복구 모드를 사용했는데 복구 프로세스 중에 다운로드 된 OS X 버전에 키 체인을 손상시키지 않는 일종의 설정이있는 것 같습니다. Lion Recovery 프로세스는 매우 순조 로웠으며 앱을 다시 설치하거나 백업에서 파일을 복구 할 필요가 없었습니다 (여전히 백업하는 것이 좋습니다). 내 MacBook Pro는 버전 5,1입니다.

애플의 보안 업데이트가 OS X를 크게 망가 뜨린 것은 이번이 처음입니다. 여전히이 문제를 해결하기 위해 수정 / 업데이트를 발표하지 않은 이유가 궁금합니다.

(YMMV이지만 나에게 도움이 됨)-네트워크를 비활성화하거나 키 체인 문제를 해결하기 위해 재부팅하거나 키 체인 액세스를 중지시킵니다. 아무 것도 삭제할 필요가 없습니다. 그런 다음 OCSP와 CRL을 비활성화했습니다. 네트워크를 활성화했습니다 ... 포로 포털에 연결 한 다음 모든 것을 다시 활성화했습니다.

문제는 캡 티브 포털에 인증서가 필요하지만 인증서 체인을 차단한다는 것입니다. 이것을 제안하는 다른 하나에 감사드립니다.

내 경험상 이것은 포로 포털 뒤에 연결할 때만 발생합니다. 그 이유는 운영 체제가 캡 티브 포털 로그인 페이지의 인증서를 확인하려고 시도하지만 확인 프로세스에는 인터넷 액세스가 필요하기 때문입니다. 캡 티브 포털 페이지의 인증서를 키 체인에 수동으로 추가하고 항상 신뢰할 수있는 것으로 표시하여이 문제를 해결할 수있었습니다.

다음 단계를 통해 인증서를 내보낼 수 있습니다.

1. Firefox에서 캡 티브 포털 페이지를 방문하십시오.
2. 고르다 Tools > Page Info > Security > View Certificate > Details > Export
3. 확장자가 ".crt"인 하드 드라이브에 인증서를 저장하십시오.

다음 단계를 통해 인증서를 가져올 수 있습니다.

1. 열다 Keychain Access.app
2. Finder에서 인증서를 키 체인으로 드래그
3. 인증서를 두 번 클릭하고 "신뢰"섹션을 펼치십시오.
4. "이 인증서를 사용하는 경우 : Always Trust"
5. 팝업 창을 닫습니다

키 체인이 손상 되었기 때문에, 무선 삭제 끌 당신이 열리지 키 체인 접근을 할 수있는 경우 ~/Library/Keychains/login.keychain와 /Library/Keychains/System.keychain다음 재부팅.

나는 문제를 발견했다. 10.7.2 (Security Captive Portal Hijacking)의 보안 수정으로 인해 발생합니다. 연결된 네트워크 중 하나에 포털 사이트가있을 수 있습니다. 여기에는 로그인 데이터를 입력 할 수있는 WiFi 네트워크가 있습니다.

지금이 문제를 해결하려면 모든 네트워크를 비활성화하고, 재부팅하고, 키 체인을 시작하고, 환경 설정, 인증서로 이동하여 OCSP 및 CRL을 끄십시오. 재부팅, 네트워크 활성화 및 이동 ...

위와 같이 "fix # 2"를 수행하여 성공했습니다.

터미널에서 :

$ cd /Users/[username]/Library/keychains
$ remove login.keychain

그런 다음 재부팅하십시오.

https://discussions.apple.com/thread/3430739?start=0&tstart=0 끝에 제안 은 다음 절차로 문제가 해결되었음을 나타냅니다. http://www.macworld.com/article/163227/ 2011 / 10 / fix_a_lion_file_opening_hang_in_mac_os_x_10_7_2.html