Ошибки SSL никогда не бывают красивым зрелищем. Вы можете встретить его в самых неожиданных местах, поскольку от него никто не застрахован, даже такие мощные компании, как Microsoft. На этой неделе пользователи браузера Mozilla Firefox не могли получить доступ к сайту Microsoft.com и его поддоменам. По сообщениям со всего мира, ошибка была связана с самим Firefox, поскольку все сайты Microsoft были доступны через Chrome и другие браузеры.
Быстрый взгляд на журнал ошибок и сопроводительное сообщение выявили виновника:
‘MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING’ и сообщение “OCSP-ответ не содержит статуса для проверяемого сертификата” помогут отследить причину проблемы.
OCSP расшифровывается как Online Certificate Status Protocol, это метод, с помощью которого браузеры могут определить действительность SSL-сертификата вместо того, чтобы полагаться на традиционные листы отзыва. Однако оригинальный OCSP имеет несколько недостатков, которые улучшаются благодаря функции, называемой Сшивание OCSP .
При использовании сшивки OCSP веб-сервер запрашивает ЦС о состоянии SSL-сертификата, а ЦС выдает высокозащищенный ответ с цифровой временной меткой. Теперь, когда веб-сервер подключается к браузеру, он связывает подписанную временную метку с сертификатом SSL, что ускоряет проверку. Вместо того, чтобы обращаться в ЦС, браузер проверяет временную метку сервера и, поскольку она получена от надежного ЦС, доверяет сертификату.
Сшивание OCSP включено по умолчанию в Firefox с 2013 года. Вот что думает Дана Килер (Dana Keeler) из Mozilla о том, как сшивание OCSP улучшает протокол OCSP:
Сшивка OCSP решает эти проблемы, заставляя сам сайт периодически запрашивать у ЦС подписанное подтверждение статуса и отправляя это подтверждение в рукопожатии в начале новых HTTPS-соединений. Браузер принимает этот подписанный, скрепленный ответ, проверяет его и использует, чтобы определить, заслуживает ли сертификат сайта доверия. Если нет, он понимает, что что-то не так, и должен прервать соединение. В противном случае с сертификатом все в порядке, и пользователь может подключиться к сайту.
Все эти годы сшивание OCSP работало как положено, но, похоже, произошла ошибка. ошибка показал свое присутствие через 8 лет после его появления. Так что же послужило толчком?
Что вызвало ошибку сшивания OSCP?
В 2013 году Firefox еще не распознавал хэши семейства SHA-2, такие как SHA-256, в полях CertID, которые присутствуют в получаемых им ответах OCSP. Поэтому любой сертификат, содержащий хэши SHA-256, в отличие от более старого SHA-1, считается недействительным и заставляет Firefox прервать соединение с сайтом.
Как исправить ошибку SSL в Firefox?
Пока Mozilla не решит эту проблему, Вам необходимо отключить сшивание OCSP в Firefox, чтобы получить доступ к сайтам Microsoft. Вот как это сделать:
- Тип about:config в адресной строке и нажмите Enter.
- Нажмите кнопку Принять риск и продолжить кнопку, следуя указаниям Приступайте с осторожностью предупреждающее сообщение.
- В Название поискового предпочтения введите “stapl”.
- Появятся следующие две настройки:
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - Дважды щелкните по каждой из этих настроек, чтобы переключить их на false.
- Изменения вступают в силу немедленно. Теперь Вы должны получить доступ к сайту Microsoft без проблем.
Обновление Firefox
Как и ожидалось, Firefox быстро исправил ошибку в 95.01 релизе . Вот что говорится в примечаниях к выпуску:
Исправлены частые сообщения об ошибках MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING при попытке подключения к различным доменам microsoft.com.
Если Вы столкнулись с другими ошибками SSL-соединения во время работы в Интернете и ищете быстрое решение, загляните на нашу страницу, посвященную ошибкам SSL. Наши руководства предлагают простые решения распространенных проблем Chrome и Firefox.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10