我正在使用Firefox访问我的网站,并使用免费的StartSSL证书进行安全保护。 我正在发送一个HSTS头(尽pipe现在testing我已经设置为15秒!),我已经启用了OCSP装订。
昨天和今天上午,StartSSL的OCSP响应者已经closures了,每当我试图访问我的网站时,我都(并不奇怪)获取sec_error_ocsp_try_server_later 。
然而,现在,尽我所知,StartSSL已经修复了他们的OCSP应答器,而且我的网站在其他本地计算机(运行Windows)上使用Firefox工作正常,但仍然无法在我的个人计算机(运行Linux)上运行。
如果有人对此有所了解,那就太好了。 我甚至不知道这个问题是在我的Firefox,Linux,还是一些服务器设置错误。
哦,我正在Linux上使用Apache Web服务器来为这个站点服务。 我不妨给你链接 。
在Firefox上查看网站时,我也收到了同样的信息。
在检查用于签署证书的StartSSL Intermediate证书的撤销状态时,似乎会出现问题。 它看起来像ocsp.startssl.com的OCSP响应者仍然不正确地响应请求。
我使用Qualys SSL Labs的在线SSL服务器testing来testing您的服务器 。 当检查StartCom Class 1主中间服务器CA的吊销状态时,它会报告
OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]
我还使用OpenSSL s_client诊断工具来检查您的服务器的响应:
echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status
-status选项
向服务器发送一个证书状态请求(OCSP stapling)。 服务器响应(如果有的话)被打印出来。
在你的情况下,答复是:
OCSP response: ====================================== OCSP Response Data: OCSP Response Status: trylater (0x3)
顺便说一下,恭喜在SSL实验室testing中对A进行评分。 这是一个耻辱,你正确地configuration一切,但由于你的控制之外的外部因素。 我一直在考虑将一些个人站点转换成使用HTTPS(和HSTS)和来自StartSSL的证书,但直到现在我还没有意识到对CA的OCSP响应者有如此严重的依赖。
我也有这个问题,但是完全取决于我使用的浏览器。 我只是偶尔遇到了Firefox的问题(当我的服务器的StartSSL证书的StartSSL OCSP服务器closures时)。
要在Firefox中修复它,即使OCSP服务器closures,您也可以导航到您的StartSSL站点,导航到“about:config”并设置
security.ssl.enable_ocsp_must_staple
假。