OCSP服务器建议稍后再试

Modified on: Thu, 19 Sep 2019 07:40:02 +0800

我使用Firefox访问使用免费StartSSL证书保护的网站。我正在发送一个HSTS标题(虽然现在用于测试我将它设置为15秒!)并且我启用了OCSP装订。

昨天和今天早上,StartSSL的OCSP响应程序已关闭,每当我尝试访问我的网站时,我(并不奇怪)得到sec_error_ocsp_try_server_later

然而,现在,据我所知,StartSSL已经修复了他们的OCSP响应程序,并且我的网站在其他本地计算机(运行Windows)上使用Firefox工作正常,但仍无法在我的个人计算机上运行(运行Linux)。

如果有人任何对此的见解会很好;我甚至不确定问题是在我的Firefox,Linux还是某些服务器设置错误中。

哦,我在Linux上使用Apache Web服务器来为该站点提供服务。
我不妨给你链接

作者:,BenjiWiebe

最佳答案

在Firefox上查看网站时收到了相同的消息。

检查用于签署证书的StartSSL中间证书的撤销状态时,似乎会出现问题。看起来他们在ocsp.startssl.com的OCSP响应者仍未正确响应请求。

我使用Qualys SSL Labs的在线SSL服务器测试测试你的
服务器
。检查 StartCom Class 1主要中间服务器CA 的撤销状态时,它会报告

OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]

我还使用OpenSSL s_client诊断工具检查服务器
响应:

echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status

-status选项

  

向服务器发送证书状态请求(OCSP装订)。打印出服务器响应(如果有)。

在您的情况下,回复是:

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: trylater (0x3)

顺便说一句,祝贺你在SSL实验室测试中得分A.遗憾的是,你正确地配置了所有东西,但却受到了你无法控制的外部因素的影响。我一直在考虑将一些个人网站转换成使用HTTPS(和HSTS)和来自StartSSL的证书,但直到现在我才意识到对CA的OCSP响应者有如此严重的依赖。


相关问答

添加新评论