尝试打开HTTPS页面时出现“ sec_error_ocsp_server_error”


13

为什么尝试访问使用HTTPS的我最喜欢的网站之一,我遇到了有关OCSP服务器的错误页面:

安全连接失败

连接到www.baka-tsuki.org时发生错误。OCSP服务器遇到内部错误。(错误代码:sec_error_ocsp_server_error)

  • 您尝试查看的页面无法显示,因为无法验证所接收数据的真实性。
  • 请与网站所有者联系,以告知他们该问题。或者,使用在帮助菜单中找到的命令来报告此损坏的站点。

我问了一下,这个网站还算不错,没有问题。为什么会这样呢?


1
无法回答为什么会发生,但是清除缓存已为我解决了。

续订SSL证书时,这是在CENTOS 6.7 x86_64 virtuozzo –服务器WHM 11.50.0(内部版本30)的Web服务器上发生的。联系SSL CA支持人员后,他们解释说问题是由于Web服务器缓存更新速度不够快引起的。通过手动刷新ocsp和crl缓存,可以解决该问题。在我没有时间这样做之前,缓存已更新,并且Firefox中的https访问再次起作用。因此,在某些情况下,可能需要稍等一下。
唐·金

Answers:


5

问题1:sec_error_ocsp_server_error可能是由于OCSP服务器内部错误以外的其他原因而发生的。

来自Bugzilla错误495380

在ocsp.c中,SEC_ERROR_OCSP_SERVER_ERROR被使用5次,处理从内部OCSP服务器错误到未能创建请求会话以及将请求写入远程服务器的许多不同问题。

问题2:我相信Firefox正在缓存此错误,但不应这样做,因此我创建了Bugzilla错误报告1014979

解决方法(来自我在另一个论坛上写的帖子):

方法1:重新启动Firefox。

方法2:转到选项->高级->证书->验证。将复选框“当OCSP服务器连接失败时,将证书视为无效”与现在相反,然后按两次“确定”按钮。这足以清除OCSP缓存。但是,由于您可能希望使用刚刚更改的原始设置,请转到“选项”->“高级”->“证书”->“验证”,然后将“ OCSP服务器连接失败时,将证书视为无效”复选框设置为原来的值。在阅读这篇文章之前,请按两次OK按钮。


2
我在使用https @ microsoft.com和Firefox 38时遇到了问题(提到的复选框不存在)。因此,我清空了缓存,about:config为“ ocsp” 重置了一些设置,禁用了“ enable_ocsp_stapling”。现在可以正常工作了,所以我重新装订。万一这对任何人都有帮助。
Nigel Touch

@Nigel Touch:该复选框已在更高版本的Firefox中删除。等效about:config设置为security.OCSP.require
布赖恩先生

@Nigel Touch:谢谢,将security.ssl.enable_ocsp_stapling切换为false可使https://起作用。但我想评论一下,如果重设它,它将再次停止工作。和MrBrian:在最新版本的FF中,值security.OCSP.require已设置为false,并且将其更改为true无效。
唐·金

3

当您尝试连接到页面时,您的连接或服务器暂时不可用,并且您已设置“当OCSP连接失败时,将证书视为无效”。Firefox会在无法连接服务器的情况下缓存此错误一段时间(5分钟,或多或少)。唯一的解决方案是停用配置中的选项,然后再次激活它,重置计数器。

如果服务器使用OCSP装订,这应该不是问题。尝试联系服务器管理员并报告问题。


1
这是可怕的建议。除了告诉作者禁用什么功能外? OCSP不应该被禁用。
拉姆猎犬,2014年

5
@Ramhound我没有告诉任何人禁用任何东西,只是像MrBrian指出的那样强制清除缓存。
Braiam

2

Firefox进行的OCSP连接(如标准HTTP连接)可能会受到插件(尤其是广告拦截器)的影响。

要验证该问题,请采用禁用加载项的正常方法,然后在识别到加载项后,使其保持启用状态并禁用广告阻止订阅,以缩小原因。但是,每次测试都必须在Firefox重新启动后运行,因为OCSP响应会被缓存,包括服务器故障,并且无法清除OCSP缓存。

如果失败是由于广告拦截程序订阅失败造成的,请将该事实报告给作者。

我亲自经历了此问题,已对其进行了修复,并验证了此修复程序。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.