Git - La fonction de révocation n'a pas pu vérifier la révocation du certificat.

Question

Je suis en train d'essayer de cloner depuis Github en utilisant à la fois Github Desktop et le terminal git mais je continue de recevoir cette erreur :

Clonage dans 'C:\Utilisateurs\John Doe\espace de travail\MonProjet'...
fatal: impossible d'accéder à 'https://github.com/JohnDoe/MyProject.git/': 
schannel: l'initialisation suivante de InitializeSecurityContext a échoué : Erreur inconnue (0x80092012) - 
La fonction de révocation n'a pas pu vérifier la révocation du certificat.

Même problème lors de la récupération d'un dépôt existant.

J'ai déjà essayé de télécharger les clés SSH trouvées dans ~/.ssh/github-ssh.pub dans les paramètres de Github mais cela ne change rien.

EDIT: Je viens de vérifier, cela se produira même si j'essaie de cloner un dépôt inexistant.

Answer 1

Cette erreur se produit également fréquemment lorsque vous êtes sur un réseau d'entreprise qui effectue une attaque de l'homme du milieu sur tout le trafic, puis bloque la vérification de révocation. Bien sûr, la situation idéale est de ne pas bloquer les vérifications (ou du moins, d'avoir une liste blanche d'URL), mais il peut être nécessaire de contourner ce problème.

Une option consiste, comme dans la première partie de la réponse de Mike, à utiliser les liaisons OpenSSL à la place. Même si cela fonctionne, cela nécessite une maintenance manuelle des listes de certificats, ce qui peut ne pas être pratique dans des situations extrêmes (par exemple, de nouveaux certificats racine émis chaque jour, bien que cela soit peu probable).

L'autre option, semblable à la deuxième partie de la réponse de Mike, consiste à désactiver la vérification de révocation.
Des versions récentes, 2.19 et supérieures, de git-for-windows fournissent un paramètre http.schannelCheckRevoke:

Utilisé pour imposer ou désactiver les vérifications de révocation de certificat dans cURL lorsque http.sslBackend est défini sur "schannel". Par défaut, défini sur true si non défini. Il est seulement nécessaire de désactiver cela si Git affiche constamment des erreurs et que le message concerne la vérification du statut de révocation d'un certificat. Cette option est ignorée si cURL ne prend pas en charge le paramétrage de l'option SSL pertinente à l'exécution.

... vous pouvez donc simplement désactiver la vérification de révocation dès le départ:
git config --global http.schannelCheckRevoke false

Remarquez que, contrairement à la désactivation complète du SSL, cette méthode n'est pas intrinsèquement moins sécurisée que l'utilisation de la réponse de Mike pour des dépôts spécifiques : si vous capturez et configurez une liste de révocation vide (le cas habituel), vous avez effectivement désactivé la vérification de révocation. Désactiver la vérification de révocation ne devient un risque que en cas de compromission de la clé privée (à un moment donné de la chaîne), ce qui est rare et difficile.

Remarquez également que dans un contexte de MITM d'entreprise, la vérification de révocation est effectuée pour vous: aucun proxy valable n'émettrait un certificat pour un certificat invalide ou compromis (connu).

Answer 2

C'est toujours une mauvaise idée de désactiver la vérification du certificat (en définissant http.sslVerify sur false).

Je pense que le problème ici est que, lorsque vous avez installé git, vous avez choisi d'utiliser la bibliothèque Windows Secure Channel au lieu de la bibliothèque OpenSSL:

Comme l'a souligné @CurtJ.Sampson (merci, Curt!), vous pouvez passer à l'utilisation de la bibliothèque OpenSSL à la place, ce qui résoudra votre problème. Cela peut être fait avec la commande suivante:

git config --global http.sslBackend openssl

Alternativement, vous pouvez réinstaller git, en spécifiant la bibliothèque OpenSSL dans le processus.

N'oubliez pas de réactiver la vérification SSL de git avec:

git config --global http.sslVerify true

Mise à jour: Si vous utilisez des certificats auto-signés ou d'entreprise sur votre propre serveur git, et que vous obtenez une erreur en tentant de vous connecter à celui-ci (comme self signed certificate in certificate chain, ou SSL certificate problem: unable to get local issuer certificate), alors la solution est d'indiquer à git où trouver le CA qui a été utilisé pour signer le certificat de ce site. Vous pouvez le faire avec la commande de configuration suivante:

git config --global http.{votre URL de site ici}.sslcainfo "{chemin vers votre fichier de certificat}"

Par exemple, si vous avez un serveur git local à https://my.gitserver.com/ et que le CA qui a signé le certificat du site est dans C:\Certs\MyCACert.crt, alors vous devrez saisir:

git config --global http.https://my.gitserver.com/.sslcainfo "C:\Certs\MyCACert.crt"

Ceci est une solution plus robuste comparée à ajouter votre certificat CA au fichier ca-bundle.crt intégré de git, puisque ce fichier sera écrasé lors de la prochaine mise à jour de git.

Answer 3

J'ai rencontré cette erreur en travaillant avec Vagrant (Version installée : 2.2.16) sur Windows 10, causée par Kaspersky Anti-Virus et a été résolue lorsque j'ai ajouté les sites vagrantcloud.com et cloud-images.ubuntu.com dans les adresses de confiance pour permettre à l'antivirus de scanner les connexions chiffrées et de les autoriser en tant que site de confiance. Plus d'informations sur les modifications des paramètres de l'antivirus peuvent être trouvées sur https://support.kaspersky.com/KIS/2019/en-US/157530.htm

Pour information, les logiciels antivirus sont connus pour causer de telles erreurs, tout ce que vous avez à faire est d'identifier le site à partir duquel le téléchargement a lieu et l'ajouter aux adresses de confiance pour le programme antivirus. Dans mon cas, c'était Kaspersky Anti-Virus. Peut-être qu'exécuter la commande en utilisant --debug pour obtenir le site adjactif serait une bonne idée.

Answer 4

Récemment confronté à une erreur similaire avec l'IDE IntelliJ Idea et je n'ai pas pu extraire le code de git. il a lancé une erreur

Impossible d'accéder à :schannel: échec de la prochaine initialisation de InitializeSecurityContext : erreur inconnue (0x80092012) - La fonction de révocation n'a pas pu vérifier la révocation du certificat.

Je peux extraire le code une fois que j'ai ajouté une entrée au gestionnaire d'informations d'identification Windows (vérifiez le panneau de configuration) pour l'URL git et le mot de passe pour le git.