Witryny SSL https (bezpieczne http) nie będą wyświetlane po stronie klienta lub serwera?

2

Dziwnie, python.org nagle stał się dla mnie nieosiągalny za pomocą repozytorium Firefox (wersja 27 i 28.0) w repozytorium Archlinux:

Bezpieczne połączenie nie powiodło się

Wystąpił błąd podczas połączenia z www.python.org. OCSP   odpowiedź nie jest jeszcze ważna (zawiera datę w przyszłości).

(Kod błędu: sec_error_ocsp_future_response)

Nie można wyświetlić strony, którą próbujesz wyświetlić, ponieważ nie można zweryfikować autentyczności odebranych danych.   Skontaktuj się z właścicielami witryny, aby poinformować ich o tym problemie. Możesz też użyć polecenia znalezionego w menu pomocy, aby to zgłosić   zepsuta strona.

Przeczytałem Mozilla teren zaleca:

  1. Wyczyść pamięć podręczną (lub nie ładuj z pamięci podręcznej) (ok)
  2. Sprawdź ustawienia czasu komputera (ok)
  3. Czek about:config ustawienia:
    • security.OCSP.enabled = 1 (dobrze)
    • security.enable_ssl & amp; security.enable_tls (Myślę, że ten ostatni jest przestarzały, ponieważ moja wersja czyta security.[some protocol].enable )
  4. Sprawdź ustawienia serwera proxy (nie masz)
  5. Jeśli masz problemy z jedną witryną, użyj tego szachownica (minął)

Z 65 ustawieniami w about:config z terminem „bezpieczeństwo” nawet nie wiem, od czego zacząć włączanie i wyłączanie. Jak co to jest security.OSCP.GET.enabled=false oprawa? Brzmi jak powinno być włączone, ale wyłączone. Chociaż nie mam żadnych problemów z zalogowaniem się na stronie internetowej mojego banku.

Wszystkie punkty wskazują na kłopoty z python.org, ale czy mogę być pewien? A dlaczego heck jest python.org i tak jest bezpieczną stroną?

firefox arch-linux ssl security-warning xtian
źródło
Zgaduję, że powodem, dla którego nie możesz się połączyć, jest to, że witryna odwołała swój certyfikat ssl. Jest to możliwe celowo
Ramhound
@Ramhound dzięki za Twój wkład. Chociaż to może być prawda, znalazłem coś na temat Łukowa strona przypomina mi głupiego Arch-thingy . Zegar był opóźniony o pięć godzin, ale data była poprawna (jest to laptop i zdarza się więcej niż chcę). Po wykonaniu tych kroków w celu zaktualizowania czasu mojego systemu za pomocą date zamiast timedatectl python.org jest znowu widoczny. Pomimo tej rozbieżności, dlaczego na świecie mogę zalogować się do mojego banku, ale nie python.org Mów o paranoi!
xtian
SSL jest skomplikowany. Musielibyśmy wiedzieć, co robi strona internetowa banku i nie obsługuje. To także osobne pytanie. Jeśli zastanawiasz się, czy OSCP jest podłączony do sprawdzania statusu łańcucha certyfikacji.
Ramhound
@ xtian spróbuj użyć tej witryny do przetestowania witryny, o której mówisz. ssllabs.com/ssltest/analyze.html?d=jbclick.jaxbchfl.net
cokedude
@Ramhound czy na pewno jest to problem SSL, a nie problem TLS? Wiem, że w 2014 roku pojawił się atak POODLE i dlatego witryny próbowały przestać korzystać z SSL.
cokedude

Odpowiedzi:

2

Zanim ktokolwiek ślepo wyłączy to ostrzeżenie, wyłączając OCSP, sprawdź ponownie, czy nie jest to problem klienta. Wyłączanie komunikatów ostrzegawczych jest czymś, co ty tylko zrobić, jeśli masz BARDZO DOBRY powód i wiesz, co robisz - lub jeśli jesteś Białym Domem, system alarmowy został wyłączony z powodu skarg ze strony personelu, że był zbyt głośny „Jeśli jednak poważnie potraktujesz ten problem, nie zrobisz tego.

Być może zegar systemowy działa wolno, ponieważ komunikat o błędzie mówi „zawiera datę w przyszłości”. O wiele bardziej prawdopodobne jest, że data / czas komputera jest niepoprawny, a nie data serwera (co może mieć wpływ na setki klientów).

Otwórz terminal i sprawdź swój czas: 

$ date

Uruchom ponownie usługę NTP, aby ją poprawić: 

$ sudo systemctl restart ntpd && echo OK

Jeśli nie masz zainstalowanej usługi NTP (błąd „nie znaleziono”), zainstaluj go: 

$ sudo pacman -S ntp

Upewnij się także, że jest włączona 

$ sudo systemctl is-enabled ntpd || sudo systemctl enable ntpd

Po zainstalowaniu i włączeniu NTP uruchom go ponownie, poświęć kilka sekund na pobranie czasu, a następnie sprawdź czas: 

$ sudo systemctl restart ntpd && sleep 30 && date

Następnie spróbuj ponownie uzyskać dostęp do witryny.

W zależności od używanego środowiska pulpitu możesz używać narzędzi graficznych zamiast tych poleceń.

A dla tych, którzy „naprawili” ten problem, wyłączając wszystkie funkcje zabezpieczeń, aż zadziałały: włącz ponownie wszystko, co zostało wyłączone. Jeśli wyłączyłeś OCSP, włącz go ponownie. Te funkcje istnieją z jakiegoś powodu.

basic6
źródło
Jak wspomniałem w kwietniu 15 roku, to nie jest moja dziedzina wiedzy. Jeśli przyszli czytelnicy uznają tę odpowiedź za przydatną, proszę zagłosuj na nią, aby móc oznaczyć ją jako poprawną!
xtian
0

Zorientowałem się, jak wyłączyć OCSP. Powinno to być zrobione tylko wtedy, gdy dużo podróżujesz i nie możesz dokładnie ustawić daty i czasu.

Otwórz about: config i wyszukaj ocsp .

To wydaje się być ważne.

security.ssl.enable_ocsp_stapling; false

  • security.OCSP.enabled; 0
  • services.sync.prefs.sync.security.OCSP.enabled; false
  • services.sync.prefs.sync.security.OCSP.require; false

http://www.pixhost.org/show/1355/26717638_ocsp.jpg

cokedude
źródło