OCSP server sugere tentar novamente mais tarde

Navegue suas respostas
5

Estou usando o Firefox para acessar meu site com um certificado StartSSL gratuito. Estou enviando um cabeçalho HSTS (embora agora para testes eu tenha configurado para 15 segundos!) E eu habilitei o grampeamento OCSP.

Ontem e hoje de manhã a resposta do OCSS da StartSSL estava inativa, e eu estava (não surpreendentemente) recebendo sec_error_ocsp_try_server_later sempre que eu tentava visitar meu site.

Agora, no entanto, o StartSSL corrigiu seu respondente do OCSP, e meu site funciona bem em outros computadores locais (executando o Windows) com o Firefox, mas ainda não funciona no meu computador pessoal (executando o Linux).

Se alguém tiver qualquer conhecimento sobre isso, seria bom; Eu nem tenho certeza se o problema está no meu Firefox, Linux ou algum servidor errado ainda.

Ah, e estou usando o servidor web Apache no Linux para servir o site. E eu também poderia lhe dar o link .

    
por BenjiWiebe 09.09.2015 / 07:44

2 respostas

7

Recebi a mesma mensagem ao visualizar o site no Firefox.

Parece que o problema ocorre ao verificar o status de revogação do certificado Intermediário StartSSL que foi usado para assinar seu certificado. Parece que o respondente do OCSP em ocsp.startssl.com ainda não está respondendo corretamente às solicitações.

Eu usei o teste de servidor SSL on-line da Qualys SSL Labs para teste seu servidor . Ao verificar o status de revogação de CA do Servidor Intermediário Primário da Classe 1 da StartCom , ele relata que 

OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]

Eu também usei a ferramenta de diagnóstico OpenSSL s_client para verificar o desempenho do seu servidor resposta: 

echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status

A opção -status

sends a certificate status request to the server (OCSP stapling). The server response (if any) is printed out.

No seu caso, a resposta foi: 

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: trylater (0x3)

BTW, parabéns por marcar o A no teste SSL Labs. É uma pena que você tenha configurado tudo corretamente, mas tenha sido ignorado por fatores externos que estão fora do seu controle. Eu estava pensando em converter alguns sites pessoais para usar HTTPS (e HSTS) com certificados do StartSSL, mas até agora não sabia que havia uma confiança tão crítica nos respondentes do CA OCSP.

    
por 09.09.2015 / 10:54
1

Também tive esse problema, mas dependia inteiramente do navegador que eu usava. Eu recebi o problema apenas com o Firefox e apenas ocasionalmente (quando o servidor StartSSL OCSP para o certificado StartSSL do servidor estava inativo).

Para corrigir isso no Firefox, que permite que você navegue para o seu site StartSSL mesmo quando o servidor OCSP estiver desativado, navegue até "about: config" e defina

security.ssl.enable_ocsp_must_staple

para falso.

    
por 21.07.2016 / 23:16

Tags

É possível / como incluiria arquivos vars de outros arquivos vars? Mover o Windows Server de um computador para outro