OCSP応答の無効なOCSP署名証明書
Firefoxで次のページを開きたいのですが、エラーが発生します。
Secure Connection Failed
An error occurred during a connection to www.acm.nl.
Invalid OCSP signing certificate in OCSP response.
(Error code: sec_error_ocsp_invalid_signing_cert)
The page you are trying to view cannot be shown because the authenticity
of the received data could not be verified.
このページをChrome=で開くと、通常どおり開きます。Firefoxがなぜオブジェクトなのですか?
彼らのOCSP証明書は9月10日に期限が切れているようです。
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 132 (0x84)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=NL, O=Digidentity B.V., CN=Digidentity Services CA - G2
Validity
Not Before: Sep 20 10:40:55 2012 GMT
Not After : Sep 10 10:40:55 2014 GMT
Subject: C=NL, O=Digidentity B.V., CN=Digidentity OCSP
コード
次の3つのコマンドを使用しました:
$ openssl s_client -connect www.acm.nl:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > acm.pem
$ openssl s_client -connect www.acm.nl:443 -showcerts </dev/null 2>/dev/null > chain.pembundle
$ openssl ocsp -issuer chain.pembundle -cert acm.pem -url $(openssl x509 -noout -ocsp_uri -in acm.pem)
Response Verify Failure
2676036:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:certificate has expired
acm.pem: ERROR: No Status found.
詳細
詳細を確認するには、3番目のコマンドの代わりにこれを使用します。
$ openssl ocsp -issuer chain.pembundle -cert acm.pem -text -url $(openssl x509 -noout -ocsp_uri -in acm.pem)
リンク
ここからコマンドをコピーしました: https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html
このページをChrome=で開くと、通常どおり開きます。Firefoxがなぜオブジェクトなのですか?
Chromeは失効のチェックを非常に限定的に行います。特に、OCSPを使用しなくなりました。 Firefoxは代わりにOCSPチェックを行います。
このエラーは、システムの日付が正しくないために発生します。過去または将来の場合、証明書は無効になります。