“Sec_error_ocsp_server_error” ao tentar abrir uma página HTTPS

13

Por que ao tentar acessar um dos meus sites favoritos que usam HTTPS, encontrei uma página de erro sobre o servidor OCSP:

Falha na Conexão Segura

Ocorreu um erro durante uma conexão com www.baka-tsuki.org. O servidor OCSP apresentou um erro interno. (Código de erro: sec_error_ocsp_server_error)

  • A página que você está tentando visualizar não pode ser mostrada porque a autenticidade dos dados recebidos não pôde ser verificada.
  • Entre em contato com os proprietários do site para informá-los sobre esse problema. Como alternativa, use o comando encontrado no menu de ajuda para relatar este site danificado.

Eu perguntei ao redor e o site é bom e elegante, sem problemas. Por que isso está acontecendo?

firefox Braiam
fonte
1
Não é uma resposta para o porquê disso está acontecendo, mas a limpeza do cache o corrigiu para mim.
Isso aconteceu comigo em um servidor Web CENTOS 6.7 x86_64 virtuozzo - servidor WHM 11.50.0 (build 30) quando renovei o certificado SSL. Depois de entrar em contato com o suporte da CA SSL, eles explicaram que o problema foi causado pelo fato de o cache dos servidores web não ter sido atualizado com rapidez suficiente. A atualização manual do cache ocsp e crl resolveria o problema. Antes que eu tivesse tempo de fazer isso, o cache era atualizado e o acesso https funcionava novamente no Firefox. Portanto, em alguns casos, pode ser uma questão de esperar um pouco.
Don King

Respostas:

5

Problema nº 1: sec_error_ocsp_server_errorpode ocorrer por outros motivos que não sejam o erro interno do servidor OCSP.

Do bug 495380 do Bugzilla :

SEC_ERROR_OCSP_SERVER_ERROR é usado 5 vezes em ocsp.c para tudo, desde um erro interno do servidor OCSP até a falha na criação da sessão de solicitação e vários problemas diferentes ao escrever a solicitação no servidor remoto.`

Problema nº 2: acredito que o Firefox está armazenando em cache esse erro, mas não deve fazê-lo, por isso criei o relatório de bug 1014979 do Bugzilla .

Soluções alternativas (de um post que escrevi em outro fórum):

Método # 1: Reinicie o Firefox.

Método 2: Vá para Opções-> Avançado-> Certificados-> Validação. Defina a caixa de seleção "Quando uma conexão do servidor OCSP falhar, trate o certificado como inválido" ao contrário do que é agora e, em seguida, pressione o botão OK duas vezes. Isso é suficiente para limpar o cache do OCSP. No entanto, como você provavelmente deseja a configuração original que acabou de alterar, vá para Opções-> Avançado-> Certificados-> Validação e defina a caixa de seleção "Quando uma conexão do servidor OCSP falhar, trate o certificado como inválido" de volta ao valor que estava lá antes de ler esta postagem, pressione o botão OK duas vezes.

MrBrian
fonte
2
Eu tive problemas com https @ microsoft.com e Firefox 38 (a caixa de seleção mencionada não existe). Então esvaziei o cache, redefini algumas about:configconfigurações para "ocsp", desabilitei "enable_ocsp_stapling". Agora trabalhando, então redefino o grampeamento. Caso isso ajude alguém.
Nigel Touch
@Nigel Touch: Essa caixa de seleção foi removida em uma versão posterior do Firefox. A about:configconfiguração equivalente é security.OCSP.require.
MrBrian 24/05
@ Nigel Touch: Obrigado, alternar security.ssl.enable_ocsp_stapling para false faz com que o https: // funcione. Mas eu queria comentar que, se eu o redefinir, ele parará de funcionar novamente. e MrBrian: o valor security.OCSP.require já estava definido como false na versão mais recente do FF e não funcionou alterando-o para true.
Don King
3

Quando você estava tentando se conectar à página, sua conexão ou o servidor ficou momentaneamente indisponível e você definiu "Quando uma conexão OCSP falhar, trate o certificado como inválido". O Firefox armazena em cache esse erro por um tempo (5 minutos, mais ou menos) em que você não pode se conectar ao servidor. A única solução é desativar a opção em sua configuração e ativá-la novamente, redefinindo o contador.

Se o servidor usar grampeamento OCSP, isso não deve ser um problema. Tente entrar em contato com o administrador do servidor e relate o problema.

Braiam
fonte
1
Este é um conselho horrível. Além de qual recurso você está dizendo ao autor para desativar? OCSPnão deve ser desativado.
Ramhound 25/05
5
@ Ramhound Não estou dizendo a ninguém para desativar nada, apenas force a limpeza do cache, como MrBrian também aponta.
Braiam
2

A conexão OCSP, como as conexões HTTP padrão, feitas pelo Firefox, pode ser afetada por complementos, principalmente bloqueadores de anúncios.

Para verificar o problema, siga o caminho normal de desativação dos complementos e, depois que o complemento for identificado, deixe-o ativado e desative as assinaturas de bloqueio de anúncios para restringir a causa. No entanto , cada teste deve ser executado após uma reinicialização limpa do Firefox, pois as respostas do OCSP são armazenadas em cache, incluindo falhas no servidor, e não há como limpar o cache do OCSP.

Se a falha ocorrer em uma assinatura quebrada do bloqueador de anúncios, informe o fato ao autor.

Eu pessoalmente experimentei esse problema, ele o corrigiu e verifiquei a correção.

mentor
fonte