Gibt noch einen guten Artikel zu OCSP und Apple: https://www.security-embedded.…rd-but-apple-does-it-well

Und wieder ein Grund mehr solange es geht auf 10.15.x zu bleiben. Bin mal gespannt ob es eine Lösung geben wird das auszuhebeln.

Lässt sich das mit PiHole aushebeln?

Stimmt. Wenn du die Adresse/n dort blacklistet sollte es eigtl. gehen.

Dann wirds wohl bald irgendwo auf github oder so eine Apple-Sperr-Liste geben.

Aber starten dann nicht die Programme alle wieder so langsam, weil die Server nicht gefunden werden, wenn man die Adresse blockt?

Das war ja das Problem vor ein paar Tagen bei Apple.

Auch wieder wahr ... hm. Vor allem starten dann auch nicht Apple Apps langsam weil die Signierung nicht geprüft werden kann.

Auf der anderen Seite ... wenn man den Netzwerkstecker rauszieht gehts ja auch wieder schnell. Vllt. kann man dem System bei gewissen Prüfungen vorgaukeln es wäre kein Netz vorhanden. Eine Art Network-Stealth-Mode.

Scheint ja dieses "trustd" für verantworlich zu sein für die Überprüfun

EDIT:

Hab mir gerade mal die Binary angeschaut ...

Wenn man derlei Adressen da drin einfacht verbiegt? "https://www.apple.com/applexx/" z.B. und schon wäre Ruhe? Wobei ... dann ist man ja im Grunde da wo man mit Pihole wäre. Er versucht die URL zu erreichen und hängt solange fest.

war das nicht auch ocsp.apple.com was die Probleme verursachte.

UPDATE:

habe gerade das hier per Zufall gefunden:

https://support.apple.com/en-us/HT210060

Habe gelesen, wenn man ocsp.apple.com auf 127.0.0.1 leitete, also blockierte, ging es wieder.

Ich würde technikaffinen Leuten generell PiHole ans Herz legen, nicht nur wegen Apple. Es gibt ja kaum noch ein Gerät im Haushalt das nicht gefühlt alle 5 Millisekunden nach Hause telefoniert... Denkt zB. mal ans Wohnzimmer.

Jo alles auf den localhost leiten über /etc/hosts wäre auch ne Möglichkeit. Ich glaube ich teste das mal nachher bei meiner BS Test Installation wo ich dann alle Adressen die unter Certificate validation stehen mal umleite. Sehe im Pihole Log ja dann ob noch was rausgehen will wenn ich ne App starte.

Vorsicht: Was wenn die Zertifikate ablaufen und erneuert werden müssen? Bin damit nicht im Detail vertraut, aber eventuell starten die Apps dann gar nicht mehr?

Wenn "spctl --master-disable" durchgeführt wurde müsste das eigtl. egal sein. ?

Blocken von ocsp.apple.com über den Router sollte ebenfalls zum Erfolg führen, oder sehe ich das falsch?

Wenn man das über /etc/hosts macht könnte das eher den Effekt haben, dass der Daemon denkt das System ist offline. Macht man das über den Router geht ja auf jeden Fall schonmal eine Verbindung zu diesem raus.

Die Server sind doch in der Datei ContentFilterExclusionList gelistet. Was, wenn man die Server darin auskommentiert und die Datei dann Schreibgeschützt wieder speichert?

Zitat von Sascha_77

Wenn man das über /etc/hosts macht

Die soll wohl in einer der nächsten Versionen verschwinden.

Zitat von karacho

Die soll wohl in einer der nächsten Versionen verschwinden.

Na super. Aber warum wundert mich das nicht.

Zitat von Sascha_77

Wenn "spctl --master-disable" durchgeführt wurde müsste das eigtl. egal sein. ?

Ich glaube dass bezahlte Apps aus dem App Store damit dennoch ein Problem haben könnten. Nur eine Vermutung.

Wobei ich zu befürchten ist, dass sie diesen Befehl demnächst auch abschaffen werden. Zutrauen würde ich denen das. Geht halt immer mehr hin zur Verkapselung wie bei iOS. ich denke bei den ARM Rechnern wird man dann demnächst auch eine Art Jailbreak machen müssen wenn man das System "offen" haben möchte.