So ersetzen Sie fehlende Stamm- und Zwischenzertifikate in Mac OS X v10.8

Lassen Sie mich dies mit der Tatsache voranstellen, dass ich nichts über Netzwerke / Sicherheit / etc. weiß. Ich hatte jetzt zweimal Probleme mit Root-Zertifikaten, die nicht funktionieren und Fehler werfen, obwohl sie noch gültig sind.

Hier ist der Link zu meinem letzten Beitrag, der nach einem Update des Betriebssystems behoben wurde (zu diesem Zeitpunkt kann ich nicht weiter aktualisieren, da mein System aufgrund älterer Software, die dies erfordert, eingefroren ist).

Safari kann die Identität der Website-Fehler nicht überprüfen

Jetzt ist das gleiche Problem wieder aufgetreten und ich weiß nicht, was ich tun soll. Ich habe mir Sorgen gemacht, dass dies ein MiTM-Angriff ist, wusste aber zu diesem Zeitpunkt nicht, was ich tun sollte, um das Problem zu beheben. Ich habe den fraglichen Schlüssel mit einem roten x daneben im Schlüsselbund gelöscht und versucht, die Schlüssel über Pacifist neu zu installieren, aber es funktioniert immer noch nicht (auch sehe ich den Schlüssel jetzt nicht, nachdem ich die Pacifist-Methode verwendet habe, also bin ich es nicht sicher, wie man es zurückbekommt, aber die Websites werfen immer noch Fehler.

Geben Sie hier die Bildbeschreibung ein

Wenn jemand Vorschläge zur Behebung des Problems hat (da ich sicher auf einige Websites gelangen möchte, die dies erfordern) oder eine Lösung für das Gesamtproblem, wäre ich EXTREM glücklich (ich werde Reputationspunkte anbieten, sobald die Option verfügbar ist ist offen oder wird direkt senden, wenn es möglich ist, wenn mir jemand hilft, das früher zu beheben).

Ich bin derzeit auf OS 10.8.5.

BEARBEITEN:
Ich habe es installiert und es heißt jetzt unter "InCommon RSA Standard Assurance Client CA" - Dieses Zertifikat wurde von einer unbekannten Stelle signiert." Ich habe auch 3 bis 4 andere Anmeldezertifikate, die Fehler anzeigen, jedes davon hat einige Art von Meldung über die „InCommon RSA Standard Assurance Client CA". Seltsamerweise gibt es ein anderes Zertifikat, das keine Fehler anzeigt, das von der InCommon RSA Standard Assurance Client CA signiert ist, aber ein anderes Ablaufdatum hat. Ich bin verloren. Ich kann Poste bei Bedarf Fotos von allen Fehlern.

UPDATE: Upgrade von 10.8.5 auf 10.10.5. Zertifikatsprobleme bestehen weiterhin.

In einem fast vanilligen 10.8.5 bekomme ich hier grünes Licht! Ihnen fehlt ein "AddTrust External CA Root" (ausgestellt am 30. Mai 2000) als Root-Zertifikat in der gesamten Zertifikatskette.
Ich habe es gelöscht, weil es als abgelaufen gekennzeichnet war, obwohl das Ablaufdatum noch nicht überschritten war.
Sie können es hier herunterladen (direkter d/l-Link) . Es zeigt die gleichen Werte (natürlich einschließlich sha/md5) wie in meinem ML-System und Sie können es Ihrem System-Roots-Schlüsselbund hinzufügen.
@klanomath, vielen Dank für Ihre Hilfe, aber ich habe versucht, es zu importieren, und die Nachricht im Schlüsselbund lautete: „Ein Fehler ist aufgetreten, ein Element kann nicht importiert werden: Der Inhalt dieses Elements kann nicht abgerufen werden.“ Die Datei, die Sie zum Download hatten, hieß "AddTrustExternalCARoot.crl". Ist das richtig?
Ich würde empfehlen herauszufinden, ob Sie tatsächlich einen Man-in-the-Middle-Angriff erleben, bevor Sie dies als das Problem ansprechen, mit dem Sie konfrontiert sind. Siehe security.stackexchange.com/questions/93869/…
Warum dachten Sie, Sie würden einen Man-in-the-Middle-Angriff erleben? Und können Sie einige (so viele wie möglich) der Schritte beschreiben, die Sie bereits unternommen haben?
@AlistairMcMillan - Nun, ich bin mir nicht ganz sicher. Ich weiß nicht genau, ob ich einen MITM-Angriff habe, aber ich hatte zufällige Zertifikate, die "abgelaufen" sind, obwohl das Ablaufdatum nicht überschritten wurde (in einigen Fällen Jahre vor Ablauf). Websites würden aufgrund dieser abgelaufenen Zertifizierungen (die ihr Ablaufdatum noch nicht überschritten haben) als „schädlich“ gekennzeichnet. Ein paar gute Netzwerker erwähnten, dass es sich "möglicherweise" um einen MITM-Angriff handeln könnte. Obwohl es ein bisschen über meinem Kopf liegt, es zu überprüfen. Ich studiere Informatik, aber dieses Networking ist nicht mein Studiengebiet (ich beschäftige mich eher mit der Programmierung).
@AlistairMcMillan-Ich habe die Schritte ausprobiert, die in meinem vorherigen SO-Beitrag aufgeführt sind, einschließlich der Verwendung von Pacifist, um die Zertifizierungen zu extrahieren und zu versuchen, sie zu importieren, aber dieser Vorgang ist immer vage, da der Import manchmal nicht funktioniert, manchmal funktioniert er aber Die neuen Zertifikate werden nicht angezeigt oder es treten Fehler auf. Am Ende habe ich auch (während des ersten Beitrags) von 10.8.4 auf 10.8.5 aktualisiert, aber das Problem ist erneut aufgetreten. Schließlich habe ich dummerweise einige Zertifikate gelöscht, weil ich dachte, ich könnte leicht neue von Anbietern herunterladen, aber ich hatte keine Ahnung, dass es nicht so einfach ist, ich habe nur an anderer Stelle gelesen, dass Sie abgelaufene Zertifikate löschen können.
An dieser Stelle möchte ich nur alle abgelaufenen Zertifikatsfehler beseitigen und sicheren Zugriff auf alle Websites haben, auf die ich zuvor sicheren Zugriff hatte. Ich werde das Kopfgeld auf 100 Punkte erhöhen, wenn ich während dieser Kopfgeldrunde keine Hilfe finden kann.

Antworten (5)

Man sollte niemals ein Root-Zertifikat löschen.

Und Sie sollten niemals ein als ungültig markiertes Root-Zertifikat löschen, bevor sein Ablaufdatum erreicht ist.

Es gab einen Grund, warum es als ungültig markiert wurde.

Hauptsächlich, weil der Aussteller des Zertifikats es als ungültig markiert (dies könnte geschehen sein, weil er gehackt wurde oder was auch immer sein Root-Zertifikat kompromittiert haben könnte).

Jetzt haben Sie/Ihr Browser kein Root-Zertifikat, sodass Sie/Ihr Browser kein Zertifikat validieren können, dem dieser Root vertraut.

Es hängt also vom Browser ab und davon, wie er mit Zertifikaten einer Root umgeht, die er nicht kennt.

Wenn sich der Browser korrekt verhält, zeigt er Ihnen jedes Zertifikat basierend auf diesem Root als ungültig an, aber einige Browser (zumindest in der Vergangenheit) haben dies nicht korrekt gehandhabt und Zertifikate ohne Root angezeigt, die sie als gültig kennen.

-1, weil das, was Sie geschrieben haben, auf mich allzu herablassend wirkt. Es ist auch keine Antwort auf die Frage, in der ausdrücklich nach Vorschlägen zur Behebung des Problems gefragt wurde.
Um fair zu sein, das ist ein ausgezeichneter Rat. Herablassung? Ich sehe es nicht. OP hat ein ungültiges/widerrufenes Stammzertifikat gelöscht. Ich habe diesen Fehler gemacht. Ich hatte es vergessen, bis ich das gelesen hatte. Die beste Lösung für ein Problem ist, es nicht zu haben. +1.

Meine erste beste Option wäre, Ihre Dateien zu sichern, den Computer vollständig zu löschen und das Betriebssystem von bekanntermaßen guten Medien neu zu installieren. Vor allem, da Sie sagen, dass dieses Problem schon eine Weile besteht und Sie sich nicht an alle von Ihnen vorgenommenen Änderungen erinnern können. Dies ist die schnellste und sicherste Option.

Wenn dies nicht möglich ist, müssen Sie alle gelöschten Stammzertifikate herunterladen und ersetzen. Finden Sie einen Computer, dem Sie vertrauen, und verwenden Sie ihn, um die Stamm- oder Zwischenzertifikate von vertrauenswürdigen Websites herunterzuladen. Jedes Mal, wenn Sie eine Meldung erhalten, die besagt: „... signiert von einem nicht vertrauenswürdigen Aussteller“, müssen Sie das Zertifikat suchen, das zum Signieren verwendet wurde, es herunterladen und installieren. Nur so lassen sich diese Fehler beseitigen. Tut mir leid, aber es gibt keine schnelle Lösung, die diesen Schaden rückgängig machen wird.

Schließlich würde ich ernsthaft empfehlen, auf die neueste Version von macOS zu aktualisieren, die auf Ihrem Mac installiert wird. Sie scheinen sich Sorgen um die Sicherheit zu machen. Es ist keine gute Idee, ein Betriebssystem zu betreiben, das Apple im August 2015 nicht mehr gepatcht (dh aufgegeben) hat. Wenn Sie mit 10.8.5 nicht weiterkommen, weil Teile der Software nicht aktualisiert wurden, ist es an der Zeit, sie zu löschen oder sogar Fragen hier zu posten, in denen Sie nach Hilfe suchen, um sie entweder auf neueren Versionen von macOS zum Laufen zu bringen oder Ersatz zu finden.

Ich würde gerne meinen Mac aufrüsten können, aber es sind nicht ein paar Softwareteile, sondern Hunderte. Ich verwende es für die Studioproduktion und verwende eine ältere Version von Pro Tools mit älteren Audio-Plugins. Das Gesamtgeld allein für die Aktualisierung meiner Plugins und meines PT-Rigs würde in die Tausende gehen. Es ist wirklich scheiße, auf diesem Betriebssystem eingefroren zu sein. Ich habe ein völlig sauberes MacBook Air, auf dem die neueste Version von Sierra ausgeführt wird. Soll ich versuchen, diese Zertifikate zu erhalten? Gibt es dafür ein gutes Verfahren?
Es ist möglicherweise bereit, auf die letzte von Pro Tools 11 (10.10.5) unterstützte Version des Betriebssystems zu aktualisieren.
Aktualisiert von 10.8.5 auf 10.10.5. Zertifikate sind immer noch vermasselt.
@joe_04_04 Ich freue mich zu hören, dass Sie den Sprung zu einem Betriebssystem gewagt haben, das immer noch Sicherheitsupdates erhält, aber es tut mir leid, wenn ich mich nicht klar ausgedrückt habe. Ich meinte, dass Sie den Computer löschen und eine neuere Version des Betriebssystems installieren sollten, nicht nur ein Upgrade an Ort und Stelle.
Würde eine Installation im Wiederherstellungsmodus ausreichen? Ich gehe davon aus, dass das Combo-Upgrade von 10.8.5 auf 10.10.5 nichts im Zusammenhang mit Schlüsselbunden installiert hat, da nichts geändert wurde, aber eine Installation im Wiederherstellungsmodus sollte das gesamte Betriebssystem vollständig ersetzen und nicht nur einen Teil davon wie eine Combo hinzufügen Update tut. Ich weiß, dass dies NOCH nicht so gut ist, wie das Gerät zu löschen und eine Neuinstallation durchzuführen und dann jedes einzelne Element wieder so zu installieren, wie es war, aber ich habe buchstäblich so viel für mein Heimstudio installiert, dass es Wochen dauern würde, wenn nicht Monaten auf meiner langsameren Verbindung, um es auf die gleiche Weise zu reparieren (oder zu schließen).
Jetzt, da ich das neueste Betriebssystem habe, mit dem ich vertraut bin, wird diese Betriebssystemversion während einer Installation im Wiederherstellungsmodus erkannt und ersetzt.

Laden Sie AddTrust External CA Root herunter und installieren Sie es , das von Comodo verlinkt ist .

Ich habe es installiert und es steht jetzt unter „InCommon RSA Standard Assurance Client CA“ – Dieses Zertifikat wurde von einer unbekannten Stelle signiert.“ Ich habe auch 3 bis 4 andere Anmeldezertifikate, die Fehler anzeigen, jedes von ihnen hat irgendeine Art von Meldung über die "InCommon RSA Standard Assurance Client CA"

Ihren Angaben zufolge möchten Sie Ihre Apple-Zertifikate reparieren und es tut mir leid, dass Sie Probleme haben. Zunächst einmal müssen Sie verstehen, wofür Zertifikate ursprünglich gedacht waren und was sie in der neuen modernen Wirtschaft des unternehmensgesteuerten 3D-Proxy-Internets geworden sind. Ein Zertifikat ist eine Textdatei, die normalerweise 1024 2048 usw. Zeichen hat. Mit anderen Worten, Root- und Benutzerzertifikate sind nur zwei separate Textdateien, die eine mathematische Beziehung aufrechterhalten.

Fahren Sie fort und vergleichen Sie den Zertifikatinstallationsprozess für Google Android Studio und Xcode iTunes Submit. Mit Xcode brauchen Sie bei Apple eine ganze abteilungsübergreifende Bananenfarm mit Zertifikatmüll, um zum Laufen zu kommen. Google ist ein Download und Klick.

Jetzt hasse ich es, Ihnen das zu sagen, aber Sie müssen die Zertifikats-Engine in OSX mit einem Linux-Patch brechen, da das Root-Zertifikat bei Apple nur dann Pyramidenmathematik erstellt, um Ihr Zertifikat zu genehmigen, wenn Ihr Mac unter Garantie steht.

Denken Sie auch daran, wenn Sie sich im Vereinigten Königreich befinden, dass es illegal ist, an einem geplanten Obsoleszenzplan teilzunehmen, wie z. B. Apples illegalem Missbrauch von Datenzertifikaten als Blacklisting-Technologie.

Viel Glück!

Laden Sie Firefox herunter, es hat einen eigenen Speicher für CA-Root-Zertifikate.

So ersetzen Sie fehlende Stamm- und Zwischenzertifikate in Mac OS X v10.8
AntwortenHierDatenschutz-Bestimmungen1y, 0v