Сервер OCSP предлагает повторить попытку позже

Question

Сервер OCSP предлагает повторить попытку позже

Я использую Firefox для доступа к своему сайту, защищенному бесплатным сертификатом StartSSL. Я отправляю заголовок HSTS (хотя теперь для тестирования он установлен на 15 секунд!), И я включил сшивание OCSP.

Вчера и сегодня утром ответчик StartSSL OCSP не работал, и я (не удивительно) получал sec_error_ocsp_try_server_later всякий раз, когда я пытался посетить мой сайт.

Однако теперь, насколько я могу судить, StartSSL исправил свой OCSP-ответчик, и мой сайт отлично работает на других локальных компьютерах (под управлением Windows) с Firefox, но все еще не работает на моем персональном компьютере (под управлением Linux).

Если у кого-то есть понимание этого, было бы неплохо; Я даже не уверен, что проблема в моем Firefox, Linux или какой-то настройке сервера еще не установлена.

О, и я использую веб-сервер Apache в Linux для обслуживания сайта. И я мог бы также дать вам ссылку.

5

ssl ocsp

Источник

BenjiWiebe 09 сен '15 в 05:44

2 ответа

Решение

У меня тоже была эта проблема, но она полностью зависела от браузера, который я использовал. Я получал проблему только с Firefox и только изредка (когда сервер StartSSL OCSP для сертификата StartSSL моего сервера был недоступен).

Чтобы исправить это в Firefox, который позволяет вам переходить на сайт StartSSL, даже когда их сервер OCSP не работает, перейдите к "about:config" и установите

security.ssl.enable_ocsp_must_staple

ложно.

1

Источник

Geremia 21 июл '16 в 21:16

Другие вопросы по тегам ssl ocsp

Anthony Geoghegan 09 сен '15 в 08:54 2015-09-09 08:54 · Accepted Answer · 2015-09-09 08:54

Я получил такое же сообщение при просмотре сайта в Firefox.

Кажется, что проблема возникает при проверке статуса отзыва промежуточного сертификата StartSSL, который использовался для подписи вашего сертификата. Похоже, их ответчик OCSP в ocsp.startssl.com все еще не правильно отвечает на запросы.

Я использовал онлайн-тест SSL-сервера от Qualys SSL Labs для тестирования вашего сервера. При проверке статуса отзыва ЦС первичного промежуточного сервера StartCom Class 1, он сообщает, что

OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]

Я также использовал OpenSSL s_client диагностический инструмент для проверки ответа вашего сервера:

echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status

-status вариант

отправляет запрос состояния сертификата на сервер (сшивание OCSP). Ответ сервера (если есть) распечатывается.

В вашем случае ответ был:

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: trylater (0x3)

Кстати, поздравляю с оценкой A в тесте SSL Labs. Обидно, что вы все настроили правильно, но были подорваны внешними факторами вне вашего контроля. Я рассматривал возможность преобразования некоторых личных сайтов для использования HTTPS (и HSTS) с сертификатами от StartSSL, но до сих пор не знал, что существует такая критическая зависимость от респондента (ов) CA OCSP.