OCSP 服务器建议稍后重试

OCSP 服务器建议稍后重试

我使用 Firefox 访问我的网站,该网站使用免费的 StartSSL 证书进行保护。我发送了一个 HSTS 标头(不过现在为了测试我将其设置为 15 秒!)并且启用了 OCSP 装订。

sec_error_ocsp_try_server_later昨天和今天早上,StartSSL 的 OCSP 响应器都瘫痪了,因此每当我尝试访问我的网站时,我都会收到(这并不奇怪)错误。

但是,据我所知,现在 StartSSL 已经修复了他们的 OCSP 响应器,我的网站在其他本地计算机(运行 Windows)上安装 Firefox 时运行良好,但在我的个人计算机(运行 Linux)上仍然无法运行。

如果有人任何对此有深入的了解就好了;我甚至不确定问题出在我的 Firefox、Linux 还是某些服务器设置错误。

哦,我正在使用 Linux 上的 Apache Web 服务器来为网站提供服务。我也可以给你链接

答案1

当我在 Firefox 上查看该网站时我也收到了同样的消息。

问题似乎是在检查用于签署证书的 StartSSL 中级证书的撤销状态时发生的。他们的 OCSP 响应器似乎ocsp.startssl.com仍未正确响应请求。

我使用了 Qualys SSL Labs 的在线 SSL 服务器测试来测试你的服务器. 检查撤销状态时StartCom 1 类主要中间服务器 CA,报告称

OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]

我还使用 OpenSSLs_client诊断工具来检查您的服务器的响应:

echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status

选项-status

向服务器发送证书状态请求(OCSP 装订)。服务器响应(如果有)将被打印出来。

对于你的情况,答复是:

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: trylater (0x3)

顺便说一句,恭喜您在 SSL Labs 测试中获得了 A 级。很遗憾您正确配置了所有配置,但却因无法控制的外部因素而失败。我一直在考虑将一些个人网站转换为使用来自 StartSSL 的证书的 HTTPS(和 HSTS),但直到现在我才意识到对 CA 的 OCSP 响应器有如此关键的依赖。

答案2

我也遇到过这个问题,但这完全取决于我使用的浏览器。我只在 Firefox 上遇到过这个问题,而且只是偶尔出现(当我服务器的 StartSSL 证书的 StartSSL OCSP 服务器关闭时)。

要在 Firefox 中修复此问题,即使 OCSP 服务器关闭,您也可以导航到 StartSSL 网站,请导航至“about:config”并设置

security.ssl.enable_ocsp_must_staple

为假。

相关内容