Hallo Forum,

heute ein lustiges/komisches Verhalten. Öffnet folgende Seite im Safari:

Schreibt bitte das Ergebnis ob das SSL Zertifikat valide ist oder nicht und eure Systemversion.

Hintergrund:

- Diese Seite ist Teil eines Contentnetworks den eine von mir genutzte Software benötigt um Updates zu laden. Seit 10.12.1 funktioniert der Update-Mechanismus nicht mehr, bei mehreren Nutzern auf der ganzen Welt. Gemeinsamkeit: Alle haben 10.12.1 installiert.
- Die Systeme, die das Problem haben, zeigen das Intermediate Certificate als revoked an.
- Der Witz ist: Es betrifft nicht alle 10.12.1er Systeme. Ein System hier in einer VM akzeptiert das Zertifikat nach wie vor.
- Das root-Zertifikat auf betroffenen und nicht-betroffenen Systemen ist das gleiche (laut Hashwert)
- Das gleiche gilt für das Intermediate Cert.

Hat irgendjemand hierzu eine Idee?

Leider kann ich den Fehler nicht finden. Das Zertifikat wurde nicht revoked, ist also nach wie vor gültig, alle Betriebssysteme und Browser die ich getestet habe zeigen es auch als gültig an.

Bin für jede Idee dankbar

Viele Grüße,

maybe

Da scheint das Intermediate-Zertifikat widerrufen worden zu sein, das Stichwort laut "Online Certificate Status Protocol (OCSP)". Screenshots anbei - spreche mal Deinen Zertifikatsaussteller (GlobalSign) darauf an.

Hallo Hannes,

danke für die Antwort. Das hatte ich ja auch schon geschrieben. Es wurde nicht revoked. Nur 10.12.1 zeigt es als revoked an, und auch nicht alle 10.12.1er Installationen.

Dazu eine Idee?

Viele Grüße,

maybe

Tja - die Frage ist, warum 10.12.x auf die Idee kommen sollte, wenn dem nicht wirklich so wäre? Alle anderen Plattformen und OS sehen das anders?

Ja, alle anderen Plattformen und OS sehen das anders. Linux, Windows, macOS. Safari, Firefox, Chrome, Opera.

Sogar Mobile Geräte, eben getestet: iPhone SE, iOS 10.1.1, Safari Valide.

Aber mit der Frage hast Du natürlich recht. Das root-cert ist ja im System hinterlegt Schlüsselbundverwaltung.
Das Intermediate liefert der Webserver mit, zusammen mit seinem eigentlichen Certificate. Die Information ob ein Intermediate revoked wurde oder nicht kommt ja nicht vom Webserver oder vom Client, sondern eigentlich von der CA.

Daher, mal den Support des Zertifikatsausstellers ansprechen. Entweder deren CA macht was seltsames, oder 10.12.x hat einen Bug und versteht es falsch...

Globalsign hat sich bei einer 'Übung' ziemlich effizient in den Fuß geschossen:

Abhilfe sollte das Löschen des OCSP-Cache auf macOS bringen:

Ja, nur ob das so eine gute Idee ist, sei mal dahingestellt. Im Allgemeinen darf man davon ausgehen, daß ein einmal zurückgerufenes Zertifikat auch zurückgerufen bleibt, und deshalb ist der Cache, den macOS 10.12 hält, eine ziemlich gute Sache.

Danke, damit hast Du vielen Leuten sehr geholfen

Aus dem Link zitiert:
Das klingt für mich eher so als hätte macOS das revoken falsch verstanden und dass intermediate invalidated. Das intermediate ist aber wohl nie revoked worden.
Scheint also dennoch Interpretationssache zu sein.

Nochmal: Danke

Auch Dir nochmal Danke, der Support hätte vermutlich auf die gleiche Seite hingewiesen

Korrekt, aber sie haben anscheinend ein Zertifikat revoked, das den gleichen public key und das gleiche subject hatte und neuer war als das Intermediate:

... was man ihnen nun wirklich nicht übelnehmen kann

Alles in allem zeigt es nur einmal mehr, daß die X.509 PKI schon vom Konzept her kaputt ist. Aber mach' mal was daran ...

Da sind wir uns glaube ich alle einig