Erros de SSL nunca são uma visão bonita. Você pode encontrar um nos lugares mais inesperados, pois ninguém está “imune” a eles, mesmo empresas poderosas como a Microsoft. Esta semana, os usuários do navegador Mozilla Firefox não puderam acessar o site Microsoft.com e seus subdomínios. Relatórios em todo o mundo indicaram que o erro foi causado pelo próprio Firefox, já que todos os sites da Microsoft eram acessíveis pelo Chrome e outros navegadores.
Uma rápida olhada no registro de erros e na mensagem que o acompanhava revelou o culpado:
‘MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING’ e a mensagem “A resposta OCSP não inclui um status para o certificado que está sendo verificado” ajudam a rastrear a causa do problema.
OCSP significa Online Certificate Status Protocol (Protocolo de Status de Certificados Online), um método para que os navegadores determinem a validade de um certificado SSL em vez de depender de listas de revogação tradicionais. No entanto, o OCSP original tem algumas deficiências, que são aprimoradas por um recurso chamado Grampeamento OCSP .
Com o grampeamento OCSP, o servidor da Web consulta a CA sobre o status do certificado SSL, e a CA fornece uma resposta altamente segura com registro de data e hora digital. Agora, quando o servidor da Web se conecta a um navegador, ele vincula o carimbo de data/hora assinado ao certificado SSL, tornando a verificação mais rápida. Em vez de entrar em contato com a CA, o navegador verifica o registro de data e hora do servidor e, como ele vem de uma CA confiável, confia no certificado.
O grampeamento OCSP está ativado por padrão no Firefox desde 2013. Veja o que Dana Keeler, da Mozilla, pensa sobre como o grampeamento OCSP melhora o protocolo OCSP:
O grampeamento OCSP resolve esses problemas fazendo com que o próprio site solicite periodicamente à CA uma declaração de status assinada e envie essa declaração no handshake no início de novas conexões HTTPS. O navegador pega essa resposta assinada e grampeada, verifica-a e a utiliza para determinar se o certificado do site ainda é confiável. Caso contrário, ele sabe que algo está errado e deve encerrar a conexão. Caso contrário, o certificado está correto e o usuário pode se conectar ao site.
O grampeamento OCSP tem funcionado como pretendido durante todos esses anos, mas parece que um bug mostrou sua presença 8 anos após sua introdução. Então, o que provocou isso?
O que causou o erro de grampeamento do OSCP?
Em 2013, o Firefox ainda não reconhecia a família de hashes SHA-2, como o SHA-256, nos campos CertID que estão presentes nas respostas OCSP que ele recebe. Dessa forma, qualquer certificado que contenha os hashes SHA-256, em vez do antigo SHA-1, é considerado inválido e faz com que o Firefox encerre a conexão com o site.
Como corrigir o erro SSL do Firefox?
Até que a Mozilla resolva esse problema, será necessário desativar o grampeamento OCSP no Firefox para acessar os sites da Microsoft. Veja como fazer isso:
- Tipo about:config em sua barra de endereços e pressione Enter.
- Clique em Accept the Risk and Continue (Aceitar o risco e continuar) após o botão Proceder com cautela mensagem de aviso.
- Na seção Nome da preferência de pesquisa digite “stapl”.
- As duas configurações a seguir serão exibidas:
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - Clique duas vezes em cada uma dessas configurações para alterá-las para falso.
- As alterações têm efeito imediato. Agora você deve acessar o site da Microsoft sem problemas.
Atualização do Firefox
Como esperado, o Firefox corrigiu rapidamente o erro na versão versão 95.01 . Veja o que dizem as notas de versão:
Correção das frequentes mensagens de erro MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING ao tentar se conectar a vários domínios microsoft.com.
Se você encontrou outros erros de conexão SSL durante a navegação e está procurando uma correção rápida, consulte nossa página dedicada a erros de SSL. Nossos tutoriais oferecem soluções fáceis para os problemas comuns do Chrome e do Firefox.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
