„Sec_error_ocsp_server_error” podczas próby otwarcia strony HTTPS

13

Dlaczego próbując uzyskać dostęp do jednej z moich ulubionych stron korzystających z HTTPS, trafiłem na stronę błędu dotyczącą serwera OCSP:

Bezpieczne połączenie nie powiodło się

Wystąpił błąd podczas połączenia ze stroną www.baka-tsuki.org. Serwer OCSP wystąpił błąd wewnętrzny. (Kod błędu: sec_error_ocsp_server_error)

  • Nie można wyświetlić strony, którą próbujesz wyświetlić, ponieważ nie można zweryfikować autentyczności otrzymanych danych.
  • Skontaktuj się z właścicielami witryny, aby poinformować ich o tym problemie. Możesz też użyć polecenia znalezionego w menu pomocy, aby zgłosić tę uszkodzoną witrynę.

Zapytałem, a strona jest w porządku i elegancka, bez problemów. Dlaczego to się dzieje?

firefox Braiam
źródło
1
Brak odpowiedzi na pytanie, dlaczego tak się dzieje, ale wyczyszczenie pamięci podręcznej naprawiło to dla mnie.
Zdarzyło mi się to na wirtualnym serwerze CENTOS 6.7 x86_64 - serwer WHM 11.50.0 (kompilacja 30), kiedy odnowiłem certyfikat SSL. Po skontaktowaniu się z obsługą SSL CA wyjaśnili, że problem jest spowodowany niedostateczną aktualizacją pamięci podręcznej serwerów WWW. Ręczne odświeżenie pamięci podręcznej ocsp i crl rozwiązałoby problem. Zanim zdążyłem to zrobić, pamięć podręczna została zaktualizowana, a dostęp do https znów działał w przeglądarce Firefox. W niektórych przypadkach może to być kwestia trochę oczekiwania.
Don King,

Odpowiedzi:

5

Problem nr 1: sec_error_ocsp_server_errormoże wystąpić z innych powodów niż wewnętrzny błąd serwera OCSP.

Z błędu Bugzilli 495380 :

SEC_ERROR_OCSP_SERVER_ERROR jest używany 5 razy w ocsp.c do wszystkiego, od wewnętrznego błędu serwera OCSP do niepowodzenia tworzenia sesji żądania i dowolnej liczby różnych problemów z zapisywaniem żądania na zdalnym serwerze.``

Problem nr 2: Uważam, że Firefox buforuje ten błąd, ale nie powinien tego robić, więc utworzyłem raport o błędzie Bugzilli 1014979 .

Obejścia (z postu, który napisałem na innym forum):

Metoda nr 1: Uruchom ponownie Firefox.

Metoda nr 2: Przejdź do Opcje-> Zaawansowane-> Certyfikaty-> Sprawdzanie poprawności. Ustaw pole wyboru „Gdy połączenie z serwerem OCSP nie powiedzie się, potraktuj certyfikat jako nieważny” w przeciwieństwie do tego, co jest teraz, a następnie naciśnij dwukrotnie przycisk OK. To wystarczy, aby wyczyścić pamięć podręczną OCSP. Ponieważ jednak prawdopodobnie chcesz zmienić pierwotne ustawienie, które właśnie zmieniłeś, przejdź do Opcje-> Zaawansowane-> Certyfikaty-> Sprawdzanie poprawności i ustaw pole wyboru „Gdy połączenie z serwerem OCSP nie powiedzie się, potraktuj certyfikat jako nieprawidłowy” z powrotem do wartości, która tam była zanim przeczytasz ten post, naciśnij dwa razy przycisk OK.

MrBrian
źródło
2
Miałem problemy z https @ microsoft.com i Firefox 38 (wspomniane pole wyboru nie istnieje). Opróżniłem więc pamięć podręczną, zresetowałem kilka about:configustawień dla „ocsp”, wyłączyłem „enable_ocsp_stapling”. Teraz działa, więc resetuję zszywanie. Jeśli to pomoże komukolwiek.
Nigel Touch
@Nigel Touch: To pole wyboru zostało usunięte w późniejszej wersji przeglądarki Firefox. Równoważne about:configustawienie to security.OCSP.require.
MrBrian
@Nigel Touch: Dziękujemy, przełączenie security.ssl.enable_ocsp_stapling na false powoduje, że https: // działa. Chciałem jednak skomentować, że jeśli go zresetuję, przestanie działać. i MrBrian: Wartość security.OCSP.require została już ustawiona na false w najnowszej wersji FF i czy to nie zadziałało, zmieniając ją na true.
Don King
3

Gdy próbujesz połączyć się ze stroną, połączenie lub serwer były chwilowo niedostępne i ustawiłeś „Gdy połączenie OCSP nie powiedzie się, traktuj certyfikat jako nieważny”. Firefox buforuje ten błąd przez chwilę (5 minut, mniej więcej), gdy nie można połączyć się z serwerem. Jedynym rozwiązaniem jest dezaktywacja opcji w konfiguracji i aktywacja jej ponownie, resetując licznik.

Jeśli serwer używa zszywania OCSP, nie powinno to stanowić problemu. Spróbuj skontaktować się z administratorem serwera i zgłoś problem.

Braiam
źródło
1
To okropna rada. Poza tym, jaką funkcję chcesz wyłączyć autorowi? OCSPnie powinno być wyłączone.
Ramhound
5
@Ramhound Nie mówię nikomu, aby cokolwiek wyłączał, wystarczy wymusić czyszczenie pamięci podręcznej, jak wskazuje również MrBrian.
Braiam
2

Na połączenia OCSP, podobnie jak standardowe połączenia HTTP, tworzone przez Firefoksa, mogą mieć wpływ dodatki, w szczególności programy blokujące reklamy.

Aby zweryfikować problem, wybierz normalną ścieżkę wyłączania dodatków, a następnie po zidentyfikowaniu dodatku pozostaw go włączonym i wyłącz subskrypcje blokujące reklamy, aby zawęzić przyczynę. Jednak każdy test musi zostać uruchomiony po czystym ponownym uruchomieniu Firefoksa, ponieważ odpowiedzi OCSP są buforowane, w tym awarie serwera, i nie ma możliwości wyczyszczenia pamięci podręcznej OCSP.

Jeśli awaria dotyczy zepsutej subskrypcji usługi blokowania reklam, zgłoś to autorowi.

Osobiście doświadczyłem tego problemu, naprawiłem go i zweryfikowałem.

mentor
źródło