我正在使用 Firefox 访问我的网站,该网站使用免费的 StartSSL 证书进行保护。我正在发送一个 HSTS 标头(尽管现在为了测试我将它设置为 15 秒!)并且我启用了 OCSP 装订。
昨天和今天早上 StartSSL 的 OCSP 响应器关闭了,sec_error_ocsp_try_server_later每当我尝试访问我的网站时,我都会(毫不奇怪)得到响应。
然而,现在,据我所知,StartSSL 已经修复了他们的 OCSP 响应程序,我的站点在其他本地计算机(运行 Windows)上运行良好,但仍然无法在我的个人计算机(运行 Linux)上运行。
如果有人对此有任何见解会很好;我什至不确定问题是否出在我的 Firefox、Linux 或某些服务器设置错误中。
哦,我在 Linux 上使用 Apache Web 服务器来为该站点提供服务。我不妨给你链接。
在 Firefox 上查看该站点时,我收到了相同的消息。
检查用于签署证书的 StartSSL 中间证书的吊销状态时,似乎会出现问题。看起来他们的 OCSP 响应器ocsp.startssl.com仍然没有正确响应请求。
我使用 Qualys SSL Labs 的在线 SSL 服务器测试来测试您的服务器。在检查StartCom Class 1 Primary Intermediate Server CA的吊销状态时,它报告说
OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]
我还使用 OpenSSLs_client诊断工具来检查您的服务器的响应:
echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status
该-status选项
向服务器发送证书状态请求(OCSP 装订)。打印出服务器响应(如果有)。
在你的情况下,回应是:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
顺便说一句,恭喜您在 SSL Labs 测试中获得了 A。遗憾的是,您正确配置了所有内容,但却因您无法控制的外部因素而失望。我一直在考虑将一些个人网站转换为使用带有 StartSSL 证书的 HTTPS(和 HSTS),但直到现在我才意识到对 CA 的 OCSP 响应程序有如此严重的依赖。
| 归档时间: |
|
| 查看次数: |
5072 次 |
| 最近记录: |