9 votes

benwiggy avatar

Quel mal fera le refus de ocsp.apple.com ?

Demandé el 13 de Novembre, 2020
Quand la question a-t-elle été
3896 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Après le numéro récent de trustd essayant de se connecter aux serveurs surchargés d'Apple, et provoquant des ralentissements sur les Macs du monde entier, une page de discussion a suggéré une solution temporaire :

Cette commande dans le Terminal va modifier votre fichier /etc/hosts pour bloquer les connexions au serveur Apple qui pose problème :

echo 0.0.0.0 ocsp.apple.com | sudo tee -a /etc/hosts

Il a ensuite dit "vous ne voulez VRAIMENT pas laisser cette ligne dans /etc/hosts- elle DOIT sortir plus tard !".

Quelqu'un sait-il quelles pourraient être les conséquences d'une obstruction trustd de cette manière à long terme ?

Demandé el 13 de Novembre, 2020 par benwiggy

Réponses

Trop de publicités?

6voto

Matt avatar
Matt Points 83

Les requêtes OCSP envoient un hash pour chaque programme que vous exécutez, afin que trustd puisse rapporter les informations (à un CDN tiers géré par une autre société, Akamai). Le but est de vérifier efficacement si l'application qui est lancée est notariée ou non en tentant de valider tout certificat cryptographique lié à Apple. Avec la sortie de MacOS 11, nous ne pouvions plus bloquer certains services d'Apple OS avec des applications comme Lulu et Little Snitch, en raison des nouvelles restrictions concernant le fonctionnement des extensions de noyau tierces et leur champ de contrôle. Cette fonctionnalité a ensuite été supprimée avec la sortie de MacOS 11.2.

Si vous savez toujours ce que vous installez et que vous faites confiance aux processus qui s'exécutent sur votre Mac, le blocage des requêtes OCSP n'aura peut-être pas de conséquence immédiate. Puisqu'elles nécessitent une connexion Internet, vous pourriez plutôt basculer votre connexion réseau pour résoudre tout ralentissement la prochaine fois que les serveurs d'Apple se bloqueront. Si vous voulez bloquer les requêtes OCSP, votre solution devrait fonctionner (au moins pour cette adresse). Si vous voulez désactiver le service, vous pouvez essayer les commandes suivantes :

sudo defaults write /Library/Preferences/com.apple.security.revocation.plist OCSPStyle None
sudo defaults write com.apple.security.revocation.plist OCSPStyle None

Je ne peux pas vérifier que cela fera une différence, puisque Apple a supprimé la méthode conventionnelle pour accomplir l'équivalent dans les préférences d'accès au trousseau il y a des années.

Répondu el 13 de Novembre, 2020 par Matt (83 Points )

2voto

Jose Chavez avatar
Jose Chavez Points 645

Le protocole OCSP est utilisé pour vérifier si un certificat a été révoqué ou non. Dans ce contexte, il est utilisé pour donner à Apple la possibilité de révoquer la "bénédiction" qu'elle a donnée à un logiciel spécifique. Cela peut se produire, par exemple, si Apple découvre qu'il contient un logiciel malveillant, ou si le développeur du logiciel s'avère être un escroc, ou d'autres situations similaires.

Le blocage de l'OCSP fait pas interrompre la validation normale du certificat. Votre Mac sera toujours capable de dire si le logiciel a ou non à un moment donné a reçu la "bénédiction" d'Apple qui lui permet de passer la validation. Si vous avez un logiciel non signé ou un logiciel signé par quelqu'un d'autre qu'Apple, il sera quand même détecté par le système.

La désactivation de l'accès OCSP signifie seulement que les logiciels qu'Apple a validés ne seront pas soumis à des contrôles à l'avenir pour vérifier si Apple a décidé de révoquer cette validation.

La question de savoir si cela est viable à plus long terme dépend de votre propre évaluation de la menace. Pour les utilisateurs ordinaires, je recommanderais de ne pas bloquer OCSP, car il sert de couche supplémentaire de protection contre les logiciels malveillants.

Répondu el 4 de Mai, 2021 par Jose Chavez (645 Points )

0voto

Douglas avatar
Douglas Points 10417

trustd gère la validation des certificats.

Si vous le bloquez de manière permanente, vous bloquez la méthode de validation des certificats utilisés pour un certain nombre de fonctions dans le système, de l'authenticité des kext et des applications aux certificats dans votre trousseau de clés, etc.

Extrait de la page de manuel

trustd fournit des services pour évaluer la confiance dans les certificats pour tous les processus du système.

Répondu el 13 de Novembre, 2020 par Douglas (10417 Points )

-1voto

stevazi stevazi avatar
stevazi stevazi Points 1

Il m'est arrivé que ce service, sur une connexion internet lente ou un hotspot nécessitant une connexion, lorsque le macbook se réveille de son état d'arrêt, il suffit de bloquer le clavier et le trackpad, après avoir réussi à blacklister sur le fichier hosts le problème disparaît... donc, même si ce n'est pas un problème de serveur ocsp, ce service peut ralentir beaucoup votre ordinateur en attendant que chaque hash soit reçu et validé.(Macbook pro 2019 13")

Répondu el 27 de Mars, 2021 par stevazi stevazi (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X