Los errores de SSL nunca son agradables de ver. Puede encontrarse con uno en los lugares más inesperados, ya que nadie es “inmune” a ellos, ni siquiera potencias como Microsoft. Esta semana, los usuarios del navegador web Mozilla Firefox no podían acceder a Microsoft.com y sus subdominios. Informes de todo el mundo indicaban que el error procedía del propio Firefox, ya que todos los sitios web de Microsoft eran accesibles a través de Chrome y otros navegadores.
Un rápido vistazo al registro de errores y al mensaje que lo acompañaba reveló al culpable:
MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING’ y el mensaje “The OCSP response does not include a status for the certificate being verified,” ayudan a localizar la causa del problema.
OCSP son las siglas de Online Certificate Status Protocol, un método para que los navegadores determinen la validez de un certificado SSL en lugar de basarse en los tradicionales listados de revocación. Sin embargo, el OCSP original tiene algunas deficiencias, que se mejoran con una función denominada Grapado OCSP .
Con el grapado OCSP, el servidor web consulta a la CA el estado del certificado SSL, y la CA envía una respuesta con sello de fecha y hora digital de alta seguridad. Ahora, cuando el servidor web se conecta a un navegador, vincula la marca de tiempo firmada con el certificado SSL, lo que agiliza la verificación. En lugar de llegar a la CA, el navegador verifica la marca de tiempo del servidor y, dado que procede de una CA fiable, confía en el certificado.
El grapado OCSP está activado por defecto en Firefox desde 2013. Esto es lo que pensaba Dana Keeler de Mozilla sobre cómo el grapado OCSP mejora el protocolo OCSP:
El grapado OCSP resuelve estos problemas haciendo que el propio sitio solicite periódicamente a la CA una afirmación de estado firmada y enviando dicha afirmación en el handshake al inicio de las nuevas conexiones HTTPS. El navegador toma esa respuesta firmada y grapada, la verifica y la utiliza para determinar si el certificado del sitio sigue siendo de confianza. Si no, sabe que algo va mal y debe terminar la conexión. De lo contrario, el certificado está bien y el usuario puede conectarse al sitio.
El grapado OCSP ha estado funcionando como se pretendía todos estos años, pero parece que un error mostró su presencia 8 años después de su introducción. ¿Qué lo provocó?
¿Cuál es la causa del error de grapado OSCP?
Allá por 2013, Firefox aún no reconocía la familia de hashes SHA-2, como SHA-256, en los campos CertID que están presentes en las respuestas OCSP que recibe. Como tal, cualquier certificado que contenga los hashes SHA-256, en contraposición al antiguo SHA-1, se considera inválido y hace que Firefox finalice la conexión con el sitio web.
¿Cómo solucionar el error SSL de Firefox?
Hasta que Mozilla resuelva este problema, es necesario desactivar el grapado OCSP en Firefox para acceder a los sitios web de Microsoft. He aquí cómo hacerlo:
- Escriba a about:config en su barra de direcciones y pulse Intro.
- Haga clic en el botón Aceptar el riesgo y continuar y, a continuación Proceda con precaución con precaución.
- En el Buscar nombre de preferencia escriba “stapl”.
- Aparecerán las dos configuraciones siguientes:
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - Haga doble clic en cada una de estas opciones para cambiarlas a false.
- Los cambios entran en vigor inmediatamente. Ahora debería acceder al sitio web de Microsoft sin problemas.
Actualización de Firefox
Como era de esperar, Firefox corrigió rápidamente el error en la versión versión 95.01 . Esto es lo que dicen las notas de la versión:
Se han corregido los frecuentes mensajes de error MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING al intentar conectarse a varios dominios de microsoft.com.
Si has encontrado otros errores de conexión SSL durante la navegación y buscas una solución rápida, consulta nuestra página dedicada a los errores SSL. Nuestros tutoriales ofrecen soluciones sencillas a los problemas más comunes de Chrome y Firefox.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
