Gli errori SSL non sono mai un bello spettacolo. Puoi incontrarne uno nei luoghi più inaspettati, perché nessuno ne è “immune”, nemmeno aziende potenti come Microsoft. Questa settimana, gli utenti del browser Mozilla Firefox non potevano accedere a Microsoft.com e ai suoi sottodomini. Secondo quanto riportato in tutto il mondo, l’errore era dovuto a Firefox stesso, in quanto tutti i siti web di Microsoft erano accessibili tramite Chrome e altri browser.

Una rapida occhiata al registro degli errori e al messaggio di accompagnamento ha rivelato il colpevole:
MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING” e il messaggio “La risposta OCSP non include lo stato del certificato da verificare” aiutano a risalire alla causa del problema.
OCSP è l’acronimo di Online Certificate Status Protocol, un metodo che consente ai browser di determinare la validità di un certificato SSL, invece di affidarsi ai tradizionali elenchi di revoca. Tuttavia, l’OCSP originale presenta alcune lacune, che sono state migliorate da una funzione chiamata Pinzatura OCSP.
Con la pinzatura OCSP, il server web interroga la CA sullo stato del certificato SSL e la CA fornisce una risposta altamente sicura con una marca temporale digitale. Ora, quando il server web si connette a un browser, lega la data e l’ora firmate al certificato SSL, rendendo più rapida la verifica. Invece di raggiungere la CA, il browser verifica la marca temporale del server e, poiché proviene da una CA affidabile, si fida del certificato.
La pinzatura OCSP è abilitata di default in Firefox dal 2013. Ecco cosa ne pensa Dana Keeler di Mozilla su come la pinzatura OCSP migliora il protocollo OCSP:
La pinzatura OCSP risolve questi problemi facendo in modo che il sito stesso chieda periodicamente alla CA un’asserzione di stato firmata e inviando tale dichiarazione nell’handshake all’inizio delle nuove connessioni HTTPS. Il browser prende la risposta firmata e pinzata, la verifica e la utilizza per determinare se il certificato del sito è ancora affidabile. In caso contrario, sa che qualcosa non va e deve interrompere la connessione. In caso contrario, il certificato è valido e l’utente può collegarsi al sito.
La pinzatura OCSP ha funzionato come previsto per tutti questi anni, ma sembra che un bug bug ha mostrato la sua presenza 8 anni dopo la sua introduzione. Cosa l’ha scatenata?
Qual è la causa dell’errore di pinzatura OSCP?
Nel 2013, Firefox non riconosceva ancora gli hash della famiglia SHA-2, come SHA-256, nei campi CertID presenti nelle risposte OCSP che riceveva. Di conseguenza, qualsiasi certificato che contenga gli hash SHA-256, rispetto al più vecchio SHA-1, viene considerato non valido e fa sì che Firefox interrompa la connessione con il sito web.

Come risolvere l’errore SSL di Firefox?
Fino a quando Mozilla non risolverà questo problema, dovrai disabilitare la pinzatura OCSP in Firefox per accedere ai siti web Microsoft. Ecco come fare:
- Tipo about:config nella barra degli indirizzi e premi Invio.
- Clicca su Accetta il rischio e continua e segui il pulsante Procedi con cautela il messaggio di avvertimento.
- Nella sezione Nome della preferenza di ricerca digita “stapl”.
- Verranno visualizzate le seguenti due impostazioni:
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - Fai doppio clic su ciascuna di queste impostazioni per modificarle in false.
- Le modifiche hanno effetto immediato. Ora dovresti accedere al sito web di Microsoft senza problemi.
Aggiornamento di Firefox
Come previsto, Firefox ha prontamente risolto l’errore nella versione 95.01. Ecco cosa dicono le note di rilascio:
Corretti i frequenti messaggi di errore MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING quando si cerca di connettersi a vari domini microsoft.com.
Se hai riscontrato altri errori di connessione SSL durante la navigazione e stai cercando una soluzione rapida, consulta la nostra pagina dedicata agli errori SSL. I nostri tutorial offrono soluzioni semplici ai problemi più comuni di Chrome e Firefox.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10



