Я только что продлил свой сертификат https://wemarsh.com/ . После того, как я подумал, что все работает, я провел несколько онлайн-тестов SSL, просто как обычную проверку, что все настроено правильно. Некоторые из них прошли без проблем, но у одного были проблемы, связанные с OCSP. Я не хочу вдаваться в подробности конфигурации по очевидным причинам, но я использую Apache и имею многодоменный сертификат Comodo.
Вот несколько фрагментов конфигурации моего виртуального хоста:
...
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
...
<VirtualHost 50.116.58.63:443>
...
ServerName www.wemarsh.com
ServerAlias wemarsh.com
SSLEngine on
SSLCertificateFile PATH_TO_CERT.crt
SSLCertificateKeyFile PATH_TO_CERT.key
SSLCertificateChainFile PATH_TO_CERT.ca-bundle
...
</VirtualHost>
Я побежал https://www.ssllabs.com/ssltest . В разделе «Пути сертификации» указано 2 пути. Первый элемент каждого содержит следующую ошибку:
OCSP ERROR: Request failed with OCSP status: 6
[http://ocsp.comodoca.com]
В деталях протокола:
OCSP stapling Yes
В чем проблема? Как я могу исправить эти ошибки в отчете?
Спасибо.
Благодаря комментарию Майкла Хэмптона я снова запустил тест ssllabs, и проблема решена. Оказывается, я не ждал достаточно долго, чтобы сертификат был отправлен ответчику OCSP.
Майкл говорит, что рекомендуется 24 часа. На самом деле, моя проработала меньше 15 часов, если это кому-нибудь пригодится.