एसएसएल त्रुटियां कभी भी एक सुंदर दृश्य नहीं होती हैं। आप सबसे अप्रत्याशित स्थानों में से एक का सामना कर सकते हैं, क्योंकि कोई भी उनसे “प्रतिरक्षा” नहीं है, यहां तक कि माइक्रोसॉफ्ट जैसे पावरहाउस भी। इस हफ्ते, मोज़िला फ़ायरफ़ॉक्स वेब ब्राउज़र उपयोगकर्ता Microsoft.com और उसके उप डोमेन तक नहीं पहुंच सके। दुनिया भर में रिपोर्टों ने संकेत दिया कि त्रुटि फ़ायरफ़ॉक्स से ही उपजी थी, क्योंकि सभी माइक्रोसॉफ्ट वेबसाइट क्रोम और अन्य ब्राउज़रों के माध्यम से सुलभ थीं।
त्रुटि लॉग पर एक त्वरित नज़र और साथ में संदेश ने अपराधी का खुलासा किया:
‘MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING’ और संदेश “OCSP प्रतिसाद में सत्यापित किए जा रहे प्रमाणपत्र की स्थिति शामिल नहीं है,” समस्या के कारण का पता लगाने में मदद करते हैं.
OCSP का मतलब ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल है, जो ब्राउज़रों के लिए पारंपरिक निरसन लिट पर भरोसा करने के बजाय एसएसएल प्रमाणपत्र की वैधता निर्धारित करने की एक विधि है। हालांकि, मूल ओसीएसपी में कुछ कमियां हैं, जिन्हें एक फीचर द्वारा सुधार किया जाता है OCSP स्टेपलिंग ।
OCSP स्टेपलिंग के साथ वेब सर्वर CA को SSL प्रमाणपत्र की स्थिति पर क्वेरी करता है, और CA अत्यधिक सुरक्षित डिजिटल टाइम-स्टैम्प्ड प्रतिक्रिया प्रदान करता है। अब, जब वेबसर्वर किसी ब्राउज़र से जुड़ता है, तो यह हस्ताक्षरित टाइम-स्टैम्प को एसएसएल प्रमाणपत्र के साथ बांधता है, जिससे सत्यापन तेज हो जाता है। सीए तक पहुंचने के बजाय, ब्राउज़र सर्वर के टाइम स्टैम्प की पुष्टि करता है, और चूंकि यह एक विश्वसनीय सीए से है, इसलिए प्रमाणपत्र पर भरोसा करता है।
OCSP स्टेपलिंग 2013 से फ़ायरफ़ॉक्स में डिफ़ॉल्ट रूप से सक्षम है। यहां बताया गया है कि मोज़िला के दाना कीलर विचार कैसे ओसीएसपी स्टेपलिंग ओसीएसपी प्रोटोकॉल में सुधार करते हैं:
OCSP स्टेपलिंग इन समस्याओं को हल करती है, साइट समय-समय पर CA से स्थिति के हस्ताक्षरित दावे के लिए पूछती है और नए HTTPS कनेक्शन की शुरुआत में उस कथन को हैंडशेक में भेजती है। ब्राउज़र उस हस्ताक्षरित, स्टेपल किए गए प्रतिसाद को लेता है, उसे सत्यापित करता है, और यह निर्धारित करने के लिए इसका उपयोग करता है कि साइट का प्रमाणपत्र अभी भी विश्वसनीय है या नहीं। यदि नहीं, तो यह जानता है कि कुछ गलत है और इसे कनेक्शन समाप्त करना होगा। अन्यथा, प्रमाणपत्र ठीक है और उपयोगकर्ता साइट से कनेक्ट कर सकता है।
OCSP स्टेपलिंग इन सभी वर्षों में इरादा के अनुसार काम कर रहा है, लेकिन ऐसा लगता है कि एक बग इसकी शुरुआत के 8 साल बाद इसकी उपस्थिति दिखाई दी। तो क्या यह ट्रिगर किया?
ओएससीपी स्टेपलिंग त्रुटि का क्या कारण है?
2013 में वापस, फ़ायरफ़ॉक्स ने अभी तक SHA-2 परिवार के हैश को नहीं पहचाना है, जैसे कि SHA-256, CertID फ़ील्ड में जो OCSP प्रतिक्रियाओं में मौजूद हैं। जैसे, पुराने SHA-256 के विपरीत SHA-1 हैश युक्त कोई भी प्रमाण पत्र, अमान्य माना जाता है और फ़ायरफ़ॉक्स को वेबसाइट के साथ कनेक्शन समाप्त करने का कारण बनता है।
फ़ायरफ़ॉक्स एसएसएल त्रुटि को कैसे ठीक करें?
जब तक मोज़िला इस समस्या को हल नहीं करता है, तब तक आपको Microsoft वेबसाइटों तक पहुँचने के लिए फ़ायरफ़ॉक्स में OCSP स्टेपलिंग को अक्षम करना होगा। यह कैसे करना है:
- टाइप about:config उनके एड्रेस बार में और एंटर दबाएं।
- सावधानी चेतावनी संदेश के साथ आगे बढ़ें के बाद, जोखिम स्वीकार करें और जारी रखें बटन पर क्लिक करें।
- खोज वरीयता नाम पाठ बॉक्स में, “stapl” लिखें.
- खालील दोन सेटिंग्ज दिसेल:
security.ssl.enable_ocsp_must_staple सच है
security.ssl.enable_ocsp_stapling सच है - इन्हें गलत पर स्विच करने के लिए इनमें से प्रत्येक सेटिंग पर डबल-क्लिक करें।
- परिवर्तन तत्काल प्रभाव से लागू होते हैं। अब आपको बिना किसी समस्या के Microsoft वेबसाइट तक पहुंचना चाहिए।
फ़ायरफ़ॉक्स अपडेट
जैसा कि अपेक्षित था, फ़ायरफ़ॉक्स ने 95.01 रिलीज में त्रुटि को तेजी से ठीक किया . यहाँ रिलीज़ नोट्स क्या कहते हैं:
विभिन्न microsoft.com डोमेन से कनेक्ट करने का प्रयास करते समय लगातार MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING त्रुटि संदेशों को ठीक किया गया।
यदि आपको ब्राउज़ करते समय अन्य एसएसएल कनेक्शन त्रुटियों का सामना करना पड़ा है, और एक त्वरित सुधार की तलाश में हैं, तो एसएसएल त्रुटियों के लिए समर्पित हमारे पृष्ठ की जांच करें। हमारे ट्यूटोरियल आम क्रोम और फ़ायरफ़ॉक्स मुद्दों के लिए आसान समाधान प्रदान करते हैं।
आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10
