Pages: [1] 2   En bas

Auteur Sujet: Erreur serveur OCSP  (Lu 3092 fois)

0 Membres et 1 Invité sur ce sujet

scope

  • Abonné Orange Fibre
  • *
  • Messages: 180
  • Plaisir (78) IPV6 jet 1000/250 Mb/s
Erreur serveur OCSP
« le: 26 mai 2015 à 19:10:25 »
soudain avec Firefox, même après plusieurs essais:
Une erreur est survenue pendant une connexion à lafibre.info. Le serveur OCSP suggère de réessayer plus tard. (Code d'erreur : sec_error_ocsp_try_server_later)

alors que l'accès au site fonctionne avec IE11

edit: à l'instant, accès site ok à nouveau avec firefox
IP archivée

Nico

  • Modérateur
  • *
  • Messages: 44 505
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Erreur serveur OCSP
« Réponse #1 le: 26 mai 2015 à 19:13:04 »
Pareil avec Opera. Fonctionne avec Chrome.
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #2 le: 27 mai 2015 à 09:29:16 »
Ce matin, j'ai eu un blocage complet avec Firefox sous Linux (impossible de passer outre) avec le message, confirmé par SSL Labs "OCSP response failed: TRY_LATER" C'est assez vite parti mais je suis étonné de ce type d'erreur, normalement, le fait de mettre de l'OCSP Stapling, permet une meilleur disponibilité, vu qu'on interroge un même serveur pour le site et la non révocation du certificat https.

IP archivée

remy74

  • Abonné Free fibre
  • *
  • Messages: 42
  • Saint-Sixt (74)
Erreur serveur OCSP
« Réponse #3 le: 27 mai 2015 à 09:57:23 »
En suivant cette procédure https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html, j'arrive à reproduire le problème.
Il semble que ce soit lié aux serveurs de StartSSL qui ne répondent pas (ou incorrectement)  http://ocsp.startssl.com.
IP archivée

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 803
  • 73
Erreur serveur OCSP
« Réponse #4 le: 15 juin 2015 à 12:15:20 »
Le même problème s'est produit momentanèment aujourd'hui.

Sous Firefox, mettre security.ssl.enable_ocsp_stapling à false dans about:config contournait le problème.


IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #5 le: 15 juin 2015 à 13:57:51 »
C'est bien embêtant, cette erreur TRY_LATER, ce type de problème arrive tout seul et repart de la même façon sans action de ma part.

Savez-vous comment le superviser ?

Je désactive OCSP Stapling ?

Si vous pensez pouvoir maider pour le résoudre, la configuration utilisée est détaillée là : https://lafibre.info/cryptographie/tuto-https/msg153945/#msg153945

Code: [Sélectionner]
        SSLUseStapling on
        SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
J'utilise Apache 2.4.7
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #6 le: 15 juin 2015 à 19:01:18 »
C'est bien présent dans les logs :

Voic le contenu en recherchant OCSP et stapling :

Code: [Sélectionner]
[Tue May 26 19:00:24.176056 2015] [ssl:error] [pid 30779] [client 78.238.115.92:51428] AH01980: bad response from OCSP server: 500 Internal Server Error
[Tue May 26 19:00:24.176117 2015] [ssl:error] [pid 30779] AH01941: stapling_renew_response: responder error

[Wed May 27 09:00:23.704694 2015] [ssl:error] [pid 1142] (70007)The timeout specified has expired: [client 78.209.132.6:53434] AH01977: failed reading line from OCSP server
[Wed May 27 09:00:23.704735 2015] [ssl:error] [pid 1142] [client 78.209.132.6:53434] AH01980: bad response from OCSP server: (none)
[Wed May 27 09:00:23.704774 2015] [ssl:error] [pid 1142] AH01941: stapling_renew_response: responder error

[Mon Apr 27 22:11:01.259322 2015] [ssl:error] [pid 14944] [client 2a01:e34:ee4f:5220:20c:29ff:fe7a:8131:59463] AH01980: bad response from OCS server: 500 Internal Server Error

[Mon Jun 15 12:00:23.085721 2015] [ssl:error] [pid 26129] (70007)The timeout specified has expired: [client 157.55.39.199:60390] AH01977: failed reading line from OCSP server
[Mon Jun 15 12:00:23.085767 2015] [ssl:error] [pid 26129] [client 157.55.39.199:60390] AH01980: bad response from OCSP server: (none)
[Mon Jun 15 12:00:23.085814 2015] [ssl:error] [pid 26129] AH01941: stapling_renew_response: responder error
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #7 le: 30 juin 2015 à 10:27:48 »
De nouveau une erreur OCSP ce matin.

J'ai réussi à  avoir les info données par le site https://ssldecoder.org

Pendant le problème :


Juste après la résolution : (sans action de ma part)
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #8 le: 02 juillet 2015 à 15:22:37 »
Je n'ai pas trouvé la cause du problème.

J'ai donc désactivé OCSP.

J'imagine que c'est à cause d'un bug Apache2 ou StartSSL
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #9 le: 20 août 2015 à 16:49:15 »
Wikipedia aussi est victime des problèmes de renouvellement du cache OCSP d'Apache :

De mon coté, je n'ai pas trouvé d'autres solutions que de désactiver OCSP Stapling

L'erreur rencontré par Wikipedia est tout de même différente de celle que j'ai rencontré.



IP archivée

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 480
  • Malissard (26)
Erreur serveur OCSP
« Réponse #10 le: 20 août 2015 à 16:52:29 »
Ni ?

Pourquoi je n'ai pas le problème ?
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 313
    • Twitter LaFibre.info
Erreur serveur OCSP
« Réponse #11 le: 20 août 2015 à 16:58:52 »
Avec Firefox ?

Chrome ne fait pas ce type de vérification de cette façon et il n'est donc pas impacté par les pb OCSP

Le problème serait chez GlobalSign :
IP archivée
Pages: [1] 2   En haut