Я использую Firefox для доступа к моему сайту, защищенному бесплатным сертификатом StartSSL. Я отправляю заголовок HSTS (хотя сейчас для тестирования я установил его на 15 секунд!), И я включил сшивание OCSP.
Вчера и сегодня утром ответчик OCSP StartSSL не работал, и я (что неудивительно) получал sec_error_ocsp_try_server_later всякий раз, когда я пытался зайти на свой сайт.
Теперь, однако, StartSSL исправил свой ответчик OCSP, насколько я могу судить, и мой сайт отлично работает на других локальных компьютерах (под управлением Windows) с Firefox, но по-прежнему не работает на моем персональном компьютере (под управлением Linux).
Если у кого-то есть любой понимание этого было бы неплохо; Я даже не уверен, что проблема в моем Firefox, Linux или некоторых настройках сервера.
О, и я использую веб-сервер Apache в Linux для обслуживания сайта. И я мог бы также дать вам ссылку.
Я получил такое же сообщение при просмотре сайта в Firefox.
Похоже, проблема возникает при проверке статуса отзыва промежуточного сертификата StartSSL, который использовался для подписи вашего сертификата. Похоже, их ответчик OCSP на ocsp.startssl.com по-прежнему неправильно отвечает на запросы.
Я использовал онлайн-тест SSL-сервера от Qualys SSL Labs, чтобы проверьте свой сервер. При проверке статуса отзыва Первичный промежуточный сервер CA класса 1 StartCom, он сообщает, что
OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]
Я также использовал OpenSSL s_client инструмент диагностики для проверки ответа вашего сервера:
echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status
В -status вариант
отправляет запрос статуса сертификата на сервер (сшивание OCSP). Распечатывается ответ сервера (если есть).
В вашем случае ответ был:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
Кстати, поздравляю с получением пятерки в тесте SSL Labs. Жалко, что вы все настроили правильно, но вас не подвели внешние факторы. Я рассматривал возможность преобразования некоторых личных сайтов для использования HTTPS (и HSTS) с сертификатами от StartSSL, но до сих пор я не знал, что существует такая критическая зависимость от ответчика (ов) OCSP CA.
У меня тоже была эта проблема, но она полностью зависела от используемого мной браузера. У меня проблема с Firefox возникала только изредка (когда сервер StartSSL OCSP для сертификата StartSSL моего сервера не работал).
Чтобы исправить это в Firefox, который позволяет вам переходить на ваш сайт StartSSL, даже когда его сервер OCSP не работает, перейдите к «about: config» и установите
security.ssl.enable_ocsp_must_staple
к ложному.