“Sec_error_ocsp_server_error” ketika mencoba membuka halaman HTTPS

13

Mengapa mencoba mengakses salah satu situs favorit saya yang menggunakan HTTPS Saya telah menemukan halaman kesalahan tentang server OCSP:

Koneksi Aman Gagal

Kesalahan terjadi selama koneksi ke www.baka-tsuki.org. Server OCSP mengalami kesalahan internal. (Kode kesalahan: sec_error_ocsp_server_error)

  • Halaman yang Anda coba lihat tidak dapat ditampilkan karena keaslian data yang diterima tidak dapat diverifikasi.
  • Silakan hubungi pemilik situs web untuk memberi tahu mereka tentang masalah ini. Atau, gunakan perintah yang ditemukan di menu bantuan untuk melaporkan situs yang rusak ini.

Saya sudah bertanya-tanya dan situsnya bagus dan keren, tanpa masalah. Mengapa ini terjadi?

firefox Braiam
sumber
1
Bukan jawaban mengapa itu terjadi, tetapi membersihkan cache memperbaikinya untuk saya.
Ini terjadi pada saya di virtuozzo CENTOS 6.7 x86_64 - server WHM 11.50.0 (build 30) server web ketika saya memperbarui sertifikat SSL. Setelah menghubungi dukungan SSL CA, mereka menjelaskan bahwa masalahnya disebabkan oleh cache server web yang tidak memperbarui cukup cepat. Dengan menyegarkan ocsp dan cache crl secara manual, ini akan menyelesaikan masalah. Sebelum saya punya waktu untuk melakukan ini, cache telah diperbarui dan akses https bekerja lagi di Firefox. Jadi dalam beberapa kasus bisa jadi soal menunggu sedikit.
Don King

Jawaban:

5

Masalah # 1: sec_error_ocsp_server_errordapat terjadi karena alasan lain selain kesalahan internal server OCSP.

Dari Bugzilla bug 495380 :

SEC_ERROR_OCSP_SERVER_ERROR digunakan 5 kali dalam ocsp.c untuk semuanya, mulai dari kesalahan server OCSP internal hingga kegagalan membuat sesi permintaan dan sejumlah masalah berbeda saat menulis permintaan ke server jarak jauh.`

Masalah # 2: Saya percaya bahwa Firefox sedang melakukan caching kesalahan ini tetapi seharusnya tidak melakukannya, jadi saya membuat laporan bug Bugzilla 1014979 .

Penanganan masalah (dari pos yang saya tulis di forum lain):

Metode # 1: Mulai ulang Firefox.

Metode # 2: Pergi ke Pilihan-> Lanjutan-> Sertifikat-> Validasi. Atur kotak centang "Ketika koneksi server OCSP gagal, perlakukan sertifikat sebagai tidak valid" dengan kebalikan dari yang sekarang, dan kemudian tekan tombol OK dua kali. Itu cukup untuk menghapus cache OCSP. Namun, karena Anda mungkin menginginkan pengaturan asli yang baru saja Anda ubah, buka Opsi-> Lanjutan-> Sertifikat-> Validasi dan atur kotak centang "Ketika koneksi server OCSP gagal, perlakukan sertifikat sebagai tidak valid" kembali ke nilai yang ada di sana. sebelum Anda membaca posting ini, lalu tekan tombol OK dua kali.

TuanBrian
sumber
2
Saya punya masalah dengan https @ microsoft.com dan Firefox 38 (kotak centang yang disebutkan tidak ada). Jadi saya mengosongkan cache, mengatur ulang beberapa about:configpengaturan untuk "ocsp", dinonaktifkan "enable_ocsp_stapling". Sekarang berfungsi, jadi saya mereset stapel. Dalam hal ini membantu siapa pun.
Nigel Touch
@Nigel Touch: Kotak centang itu telah dihapus di versi Firefox yang lebih baru. about:configPengaturan yang setara adalah security.OCSP.require.
MrBrian
@Nigel Touch: Terima kasih, mengaktifkan security.ssl.enable_ocsp_stapling ke false membuat https: // berfungsi. Tetapi saya ingin berkomentar bahwa jika saya mengatur ulang, itu berhenti bekerja lagi. dan MrBrian: Nilai security.OCSP.require sudah disetel ke false di versi terbaru FF dan apakah itu tidak berhasil mengubahnya menjadi true.
Don King
3

Ketika Anda mencoba menyambung ke halaman, koneksi Anda atau server untuk sementara tidak tersedia dan Anda telah menetapkan "Ketika koneksi OCSP gagal, perlakukan sertifikat sebagai tidak sah". Firefox menyimpan kesalahan ini untuk sementara waktu (5 menit, lebih atau kurang) di mana Anda tidak dapat terhubung ke server. Satu-satunya solusi adalah menonaktifkan opsi di konfigurasi Anda dan mengaktifkannya lagi, mereset penghitung.

Jika server menggunakan stapel OCSP, ini seharusnya tidak menjadi masalah. Coba hubungi administrator server dan laporkan masalahnya.

Braiam
sumber
1
Ini saran yang mengerikan. Selain fitur apa yang Anda beri tahu penulis untuk menonaktifkan? OCSPseharusnya tidak dinonaktifkan.
Ramhound
5
@Ramhound Saya tidak memberi tahu siapa pun untuk menonaktifkan apa pun, cukup paksakan penghapusan cache seperti yang ditunjukkan oleh MrBrian.
Braiam
2

Koneksi OCSP, seperti koneksi HTTP standar, yang dibuat oleh Firefox dapat dipengaruhi oleh addon, terutama pemblokir iklan.

Untuk memverifikasi masalah, ambil jalur normal menonaktifkan addon, dan kemudian setelah addon diidentifikasi, biarkan diaktifkan dan nonaktifkan langganan pemblokiran iklan, untuk mempersempit penyebabnya. Namun , setiap pengujian harus dijalankan setelah restart Firefox yang bersih, karena respons OCSP di-cache termasuk kegagalan server, dan tidak ada cara untuk menghapus cache OCSP.

Jika kegagalan dilakukan pada langganan pemblokir iklan yang rusak, silakan laporkan fakta tersebut kepada penulis.

Saya pribadi mengalami masalah ini, telah memperbaikinya, dan memverifikasi perbaikannya.

mentor
sumber