SSL 错误从来都不是什么好现象。 你可能会在最意想不到的地方遇到它们,因为没有人对它们有 “免疫力”,即使是微软这样的巨头也不例外。 本周,Mozilla Firefox 网络浏览器用户无法访问 Microsoft.com 及其子域。 世界各地的报告显示,错误源于火狐浏览器本身,因为所有微软网站都可以通过 Chrome 浏览器和其他浏览器访问。
快速浏览了一下错误日志和附带信息,发现了罪魁祸首:
MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING “和信息 “OCSP 响应不包括正在验证的证书的状态 “有助于追查问题的原因。
OCSP 是在线证书状态协议(Online Certificate Status Protocol)的缩写,是浏览器确定 SSL 证书有效性的一种方法,而不是依赖于传统的撤销点。 不过,原始 OCSP 有一些不足之处,而一种名为 OCSP 装订 .
通过 OCSP 订书机,网络服务器会向 CA 查询 SSL 证书的状态,而 CA 则会提供高度安全的数字时间戳回复。 现在,当网络服务器连接到浏览器时,就会将签名的时间戳与 SSL 证书绑定,从而加快验证速度。 浏览器不会联系 CA,而是验证服务器的时间戳,因为它来自可靠的 CA,所以浏览器会信任证书。
自 2013 年起,火狐浏览器默认启用 OCSP 订书机功能。 以下是 Mozilla 的 Dana Keeler 对 OCSP 装订如何改进 OCSP 协议的看法:
OCSP stapling 解决了这些问题,它让网站本身定期向 CA 请求签名的状态声明,并在新 HTTPS 连接开始时的握手过程中发送该声明。 浏览器会收到经过签名和装订的响应,并对其进行验证,从而确定网站证书是否仍然可信。 如果没有,它就知道出了问题,必须终止连接。 否则,证书没有问题,用户可以连接到网站。
这些年来,OCSP 订书机一直在正常工作,但似乎出现了一个 错误 在其问世 8 年后,才显示出它的存在。 那么,是什么触发了它呢?
是什么原因导致 OSCP 装订错误?
早在 2013 年,Firefox 收到的 OCSP 响应中的 CertID 字段还不能识别 SHA-2 系列哈希值,如SHA-256。 因此,任何包含 SHA-256 哈希值(而不是较早的SHA-1 哈希值)的证书都会被视为无效,并导致 Firefox 终止与网站的连接。
如何修复 Firefox SSL 错误?
在 Mozilla 解决这个问题之前,您需要禁用火狐浏览器中的 OCSP 订书机功能才能访问微软网站。 方法如下
- 类型 about:config在地址栏中输入 about:config,然后点击 Enter。
- 点击 接受风险并继续按钮,然后点击 谨慎操作警告信息。
- 在 搜索首选项名称文本框中,键入 “stapl”。
- 将显示以下两个设置:
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - 双击每个设置,将其切换为假设置。
- 更改立即生效。 现在访问微软网站应该没有问题了。
火狐浏览器更新
不出所料,Firefox 在 95.01 版本中 . 下面是发布说明:
修正了在尝试连接到各种 microsoft.com 域名时频繁出现的 MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING 错误信息。
如果您在浏览时遇到其他 SSL 连接错误,并正在寻找快速修复方法,请查看我们的 SSL 错误专用页面。 我们的教程为 Chrome 浏览器和火狐浏览器的常见问题提供了简便的解决方案。
