首先检查并校准系统日期与时间,确保启用“自动设置日期与时间”;其次重置钥匙串中DigiCert、GlobalSign等根证书的信任设置为“始终信任”;接着重建登录钥匙串;再禁用HTTPS代理软件;最后重新安装Apple根证书包。
如果您在使用 Safari 浏览器访问 HTTPS 网站时收到“无法验证服务器身份”的警告,这通常意味着系统未能成功校验网站所用数字证书的有效性或信任链完整性。以下是解决此问题的步骤:
一、检查系统日期与时间设置
错误的系统时间会导致证书被判定为未生效或已过期,从而触发身份验证失败。Safari 严格依赖本地时间验证证书有效期。
1、点击屏幕左上角苹果图标,选择“系统设置”。
2、进入“通用”→“日期与时间”。
3、确保勾选“自动设置日期与时间”,并确认时区正确。
4、若已勾选但时间仍异常,可手动关闭再开启该选项以强制同步。
二、重置钥匙串中的根证书信任设置
macOS 使用“钥匙串访问”管理受信任的根证书。部分根证书可能被意外设为“永不信任”,或系统钥匙串损坏导致验证中断。
1、打开“访达”,前往“应用程序”→“实用工具”→“钥匙串访问”。
2、在左侧边栏选择“系统”钥匙串,顶部菜单栏点击“钥匙串访问”→“偏好设置”。
3、切换到“证书”标签页,将“当遇到带有弱加密的证书时”和“当遇到无效的证书时”两项均设为“询问”。
4、关闭偏好设置,在搜索框输入“DigiCert”“GlobalSign”“Apple Root CA”等主流根证书名称。
5、对查找到的每个根证书双击打开,展开“信任”项,将“使用此证书时”设为始终信任,关闭窗口后输入管理员密码确认更改。
三、重建登录钥匙串并恢复默认信任策略
用户登录钥匙串若损坏或权限异常,可能导致 Safari 无法读取预置信任规则,进而拒绝验证合法证书。
1、在“钥匙串访问”中,右键点击左侧“登录”钥匙串,选择“删除钥匙串”。
2、在弹出提示中点击“继续”,系统将自动创建新的空登录钥匙串。
3、重启 Safari,访问 apple.com 或其他 HTTPS 网站观察是否仍报错。
4、如需恢复原有证书,可在“访达”中前往“/Users/您的用户名/Library/Keychains/”,查找备份文件(如 login.keychain-db.backup)并拖入钥匙串访问窗口导入。
四、禁用第三方安全或网络代理软件
某些企业级防火墙、HTTPS 解密代理(如 Zscaler、Netskope)、或本地安装的 SSL/TLS 中间人工具(如 Charles Proxy、Fiddler)会替换原始证书,而其根证书未被 macOS 系统钥匙串信任。
1、检查菜单栏右侧是否有代理类应用图标(如盾牌、锁形、Z 字标等),点击退出或关闭其 HTTPS 拦截功能。
2、进入“系统设置”→“网络”,选择当前连接,点击右侧“详细信息…”→“代理”,确认“安全 Web 代理(HTTPS)”和“Web 代理(HTTP)”均未启用。
3、打开“访达”,前往“/Library/Preferences/”和“~/Library/Preferences/”,搜索包含“proxy”“ssl”“charles”“fiddler”字样的 .plist 文件,临时移至桌面隔离测试。
五、重新安装 Apple 根证书包
系统内置的根证书存储可能因更新中断或权限错误而缺失关键证书,需通过官方渠道补全。
1、访问 Apple 官方支持页面 https://support.apple.com/zh-cn/HT202858,下载最新版“Apple Root Certificate Bundle”。
2、双击下载的 .cert 文件,系统将自动启动“钥匙串访问”并提示安装位置。
3、在弹窗中选择“系统”钥匙串,点击“添加”。
4、输入管理员密码完成安装,完成后重启 Safari 并尝试重新加载问题网页。
