«Sec_error_ocsp_server_error» lors de la tentative d'ouverture d'une page HTTPS

13

Pourquoi essayer d'accéder à l'un de mes sites préférés qui utilisent HTTPS, j'ai rencontré une page d'erreur sur le serveur OCSP:

Échec de la Connexion Sécurisée

Une erreur s'est produite lors d'une connexion à www.baka-tsuki.org. Le serveur OCSP a rencontré une erreur interne. (Code d'erreur: sec_error_ocsp_server_error)

  • La page que vous essayez d'afficher ne peut pas être affichée car l'authenticité des données reçues n'a pas pu être vérifiée.
  • Veuillez contacter les propriétaires du site Web pour les informer de ce problème. Vous pouvez également utiliser la commande trouvée dans le menu d'aide pour signaler ce site défectueux.

J'ai demandé autour et le site est bien et dandy, sans problèmes. Pourquoi cela arrive-t-il?

firefox Braiam
la source
1
Pas une réponse à la raison pour laquelle cela se produit, mais l'effacement du cache l'a corrigé pour moi.
Cela m'est arrivé sur un serveur Web CENTOS 6.7 x86_64 virtuozzo - serveur WHM 11.50.0 (build 30) lorsque j'ai renouvelé le certificat SSL. Après avoir contacté le support SSL CA, ils ont expliqué que le problème était dû au fait que le cache des serveurs Web ne se mettait pas à jour assez rapidement. En actualisant manuellement le cache ocsp et crl, cela résoudrait le problème. Avant d'avoir eu le temps de le faire, le cache avait été mis à jour et l'accès https fonctionnait à nouveau dans Firefox. Dans certains cas, il pourrait donc s'agir d'attendre un peu.
Don King

Réponses:

5

Problème n ° 1: sec_error_ocsp_server_errorpeut se produire pour d'autres raisons que l'erreur interne du serveur OCSP.

De Bugzilla bug 495380 :

SEC_ERROR_OCSP_SERVER_ERROR est utilisé 5 fois dans ocsp.c pour tout, depuis une erreur de serveur OCSP interne jusqu'à l'échec de la création de la session de demande et un certain nombre de problèmes différents lors de l'écriture de la demande sur le serveur distant. »

Problème n ° 2: je crois que Firefox met en cache cette erreur mais ne devrait pas le faire, j'ai donc créé le rapport de bogue Bugzilla 1014979 .

Solutions de contournement (à partir d'un article que j'ai écrit sur un autre forum):

Méthode n ° 1: redémarrez Firefox.

Méthode n ° 2: Allez dans Options-> Avancé-> Certificats-> Validation. Cochez la case «Lorsqu'une connexion au serveur OCSP échoue, traitez le certificat comme non valide» à l'opposé de ce qu'il est maintenant, puis appuyez deux fois sur le bouton OK. Cela suffit pour vider le cache OCSP. Cependant, puisque vous voulez probablement le paramètre d'origine que vous venez de changer, allez dans Options-> Avancé-> Certificats-> Validation et cochez la case "Lorsqu'une connexion au serveur OCSP échoue, traitez le certificat comme invalide" pour revenir à la valeur qui était là avant de lire ce post, puis appuyez deux fois sur le bouton OK.

MrBrian
la source
2
J'ai eu des problèmes avec https @ microsoft.com et Firefox 38 (la case à cocher mentionnée n'existe pas). J'ai donc vidé le cache, réinitialisé quelques about:configparamètres pour "ocsp", désactivé "enable_ocsp_stapling". Maintenant, je réinitialise l'agrafage. Au cas où cela aiderait quelqu'un.
Nigel Touch
@Nigel Touch: cette case à cocher a été supprimée dans une version ultérieure de Firefox. Le about:configréglage équivalent est security.OCSP.require.
MrBrian
@Nigel Touch: Merci, basculer security.ssl.enable_ocsp_stapling sur false fait fonctionner https: //. Mais je voulais dire que si je le réinitialise, il ne fonctionne plus. et MrBrian: La valeur security.OCSP.require était déjà définie sur false dans la dernière version de FF et cela n'a pas fonctionné en la changeant en true.
Don King
3

Lorsque vous tentiez de vous connecter à la page, votre connexion ou le serveur était momentanément indisponible et vous avez défini «Lorsqu'une connexion OCSP échoue, traitez le certificat comme non valide». Firefox cache cette erreur pendant un certain temps (5 minutes, plus ou moins) où vous ne pouvez pas vous connecter au serveur. La seule solution consiste à désactiver l'option dans votre configuration et à la réactiver, en réinitialisant le compteur.

Si le serveur utilise l'agrafage OCSP, cela ne devrait pas poser de problème. Essayez de contacter l'administrateur du serveur et signalez le problème.

Braiam
la source
1
C'est un conseil horrible. Outre quelle fonctionnalité dites-vous à l'auteur de désactiver? OCSPne doit pas être désactivé.
Ramhound
5
@Ramhound Je ne dis à personne de désactiver quoi que ce soit, forcez simplement l'effacement du cache comme le souligne également MrBrian.
Braiam
2

La connexion OCSP, comme les connexions HTTP standard, établies par Firefox peut être affectée par des addons, notamment des bloqueurs de publicités.

Pour vérifier le problème, suivez le chemin normal de désactivation des modules complémentaires, puis une fois le module complémentaire identifié, laissez-le activé et désactivez les abonnements au blocage des publicités, pour en limiter la cause. Cependant , chaque test doit être exécuté après un redémarrage propre de Firefox, car les réponses OCSP sont mises en cache, y compris les pannes de serveur, et il n'y a aucun moyen d'effacer le cache OCSP.

Si l'échec est dû à un abonnement au bloqueur de publicités cassé, veuillez en informer l'auteur.

J'ai personnellement rencontré ce problème, l'ai résolu et vérifié le correctif.

mentor
la source