OCSPサーバーは後で再試行することを提案しています
Firefoxを使用して、無料のStartSSL証明書で保護された自分のサイトにアクセスしています。 HSTSヘッダーを送信していますが(テスト用に15秒に設定しています!)、OCSPステープリングを有効にしています。
昨日と今朝、StartSSLのOCSPレスポンダーがダウンしていて、(当然のことながら)sec_error_ocsp_try_server_later自分のサイトにアクセスしようとしたとき。
しかし、StartSSLはOCSPレスポンダを私の知る限り修正しました。私のサイトは、Firefoxを使用する他のローカルコンピュータ(Windowsを実行)では正常に動作しますが、パーソナルコンピュータ(Linuxを実行)では動作しません。
誰かがanyを持っている場合、これに関する洞察は素晴らしいでしょう。私のFirefox、Linux、または一部のサーバー設定に問題があるのかどうかさえ、まだわかりません。
ああ、そして私はLinuxでApache Webサーバーを使用してサイトにサービスを提供しています。そして、私は同様に あなたにリンクを与える かもしれません。
Firefoxでサイトを表示したときにも同じメッセージが表示されました。
証明書の署名に使用されたStartSSL中間証明書の失効ステータスを確認すると、問題が発生するようです。 ocsp.startssl.comのOCSPレスポンダがまだリクエストに正しく応答していないようです。
Qualys SSL LabsのオンラインSSLサーバーテストを test your server に使用しました。 StartCom Class 1 Primary Intermediate Server CAの失効ステータスを確認すると、
OCSP ERROR: Request failed with HTTP status: 500 [http://ocsp.startssl.com/ca]
また、OpenSSL s_client診断ツールを使用してサーバーの応答を確認しました。
echo | openssl.exe s_client -connect www.grepper.net:443 -CAfile /usr/ssl/certs/ca-bundle.crt -status
-statusオプション
証明書ステータス要求をサーバーに送信します(OCSPステープリング)。サーバーの応答(ある場合)が出力されます。
あなたの場合、応答は:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
ところで、SSL LabsテストでAを獲得することでおめでとうございます。すべてを正しく設定したが、制御できない外部要因によって失望したのは残念です。私はいくつかの個人サイトをStartSSLからの証明書でHTTPS(およびHSTS)を使用するように変換することを検討していましたが、CAのOCSPレスポンダーにそのような重要な依存があることを今まで知りませんでした。
私もこの問題を抱えていましたが、使用しているブラウザに完全に依存していました。 Firefoxでのみ問題が発生しました(サーバーのStartSSL証明書のStartSSL OCSPサーバーがダウンした場合)。
OCSPサーバーがダウンしている場合でもStartSSLサイトに移動できるようにするFirefoxで修正するには、「about:config」に移動して設定します。
security.ssl.enable_ocsp_must_staple
偽に。