Comment savoir pourquoi MacOS pense qu'un certificat est révoqué ?

J'ai essayé crlrefresh rp et aussi en supprimant manuellement le cache OCSP avec sudo rm /var/db/crls/*cache.db comme documenté par GlobalSign .

Cependant, le cache semble se trouver à un endroit différent sous MacOS 10.12 Sierra. La commande suivante a fonctionné pour moi et a résolu le problème :

$ sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

J'ai également essayé de supprimer l'ensemble de la base de données, mais elle ne semble pas revenir automatiquement.

Si vous n'êtes pas sûr, il vaut mieux restaurer ~/Library/Keychains/*/ocspcache.sqlite3* (y compris -shm y -wal ) à partir d'une sauvegarde avant que les serveurs OCSP ne commencent à donner des réponses erronées, par exemple à partir d'hier.

Ça pourrait être ça, il semble que GlobalSign ait un problème avec leur OCSP. Ceci est tiré de leur twitter ( https://twitter.com/globalsign/status/786505261842247680?lang=da )

Nous rencontrons actuellement des problèmes avec notre OCSP qui provoque des messages d'avertissement sur les certificats. Nous nous efforçons de résoudre ce problème dès que possible.

Et aussi

UPDATE : Si vous êtes un utilisateur MAC, veuillez vider votre cache avec crlrefresh rp

ou Visualisation et/ou suppression de CRL, OCSP Cache

J'ai essayé les instructions fournies par Global Sign, mais cela ne m'a pas vraiment aidé.

sudo rm /var/db/crls/*cache.db Ça n'a pas vraiment aidé parce qu'il y a un autre fichier cache. crlcache2.db qui ne correspondait pas à la *cache.db critères.

Ma solution a été de supprimer également ce fichier, puis de redémarrer.

sudo rm /var/db/crls/crlcache2.db

Je pense que c'est sûr de sudo rm /var/db/crls/* parce que le dossier ne contient que des fichiers de cache. Mais si vous choisissez de le faire, faites-le à vos risques et périls.

La question est littéralement la suivante : "Existe-t-il un moyen de demander à Security Framework de me dire ce qui, selon lui, ne va pas dans le certificat ?". Mais c'est littéralement ce que fait le Security Framework.

MacOS pense que ce certificat a été révoqué parce qu'un certificat intermédiaire de sa chaîne de confiance a été révoqué (par inadvertance). Voir Une erreur de GlobalSign annule les certificats HTTPS de sites Web de premier plan .

Le message d'erreur que vous voyez vous indique exactement quel certificat intermédiaire a été révoqué. Que voulez-vous savoir de plus ?

L'autre option est d'aller sur un site que vous n'utilisez jamais qui utilise globalsign, par exemple (pour les anglophones) https://it.wikipedia.org (wikipedia italien) et lorsqu'il s'affiche en disant que le certificat est invalide, faites explicitement confiance au certificat globalsign jusqu'à ce que cette FC soit corrigée correctement.