La Fibre

Fonctionnement du forum => A lire avant de commencer... => Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: scope le 26 mai 2015 à 19:10:25

Titre: Erreur serveur OCSP
Posté par: scope le 26 mai 2015 à 19:10:25

soudain avec Firefox, même après plusieurs essais:
Une erreur est survenue pendant une connexion à lafibre.info. Le serveur OCSP suggère de réessayer plus tard. (Code d'erreur : sec_error_ocsp_try_server_later)

alors que l'accès au site fonctionne avec IE11

edit: à l'instant, accès site ok à nouveau avec firefox

Titre: Erreur serveur OCSP
Posté par: Nico le 26 mai 2015 à 19:13:04

Pareil avec Opera. Fonctionne avec Chrome.

Titre: Erreur serveur OCSP
Posté par: vivien le 27 mai 2015 à 09:29:16

Ce matin, j'ai eu un blocage complet avec Firefox sous Linux (impossible de passer outre) avec le message, confirmé par SSL Labs "OCSP response failed: TRY_LATER" C'est assez vite parti mais je suis étonné de ce type d'erreur, normalement, le fait de mettre de l'OCSP Stapling, permet une meilleur disponibilité, vu qu'on interroge un même serveur pour le site et la non révocation du certificat https.

(https://lafibre.info/images/ssl/201505_erreur_ocsp_try_later_1.png)

Titre: Erreur serveur OCSP
Posté par: remy74 le 27 mai 2015 à 09:57:23

En suivant cette procédure https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html (https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html), j'arrive à reproduire le problème.
Il semble que ce soit lié aux serveurs de StartSSL qui ne répondent pas (ou incorrectement)  http://ocsp.startssl.com.

Titre: Erreur serveur OCSP
Posté par: Marin le 15 juin 2015 à 12:15:20

Le même problème s'est produit momentanèment aujourd'hui.

Sous Firefox, mettre security.ssl.enable_ocsp_stapling à false dans about:config contournait le problème.


(https://lafibre.info/images/ssl/201505_erreur_ocsp_try_later_2.png)

Titre: Erreur serveur OCSP
Posté par: vivien le 15 juin 2015 à 13:57:51

C'est bien embêtant, cette erreur TRY_LATER, ce type de problème arrive tout seul et repart de la même façon sans action de ma part.

Savez-vous comment le superviser ?

Je désactive OCSP Stapling ?

Si vous pensez pouvoir maider pour le résoudre, la configuration utilisée est détaillée là : https://lafibre.info/cryptographie/tuto-https/msg153945/#msg153945

Code: [Sélectionner]

        SSLUseStapling on
        SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
J'utilise Apache 2.4.7

Titre: Erreur serveur OCSP
Posté par: vivien le 15 juin 2015 à 19:01:18

C'est bien présent dans les logs :

Voic le contenu en recherchant OCSP et stapling :

Code: [Sélectionner]

[Tue May 26 19:00:24.176056 2015] [ssl:error] [pid 30779] [client 78.238.115.92:51428] AH01980: bad response from OCSP server: 500 Internal Server Error
[Tue May 26 19:00:24.176117 2015] [ssl:error] [pid 30779] AH01941: stapling_renew_response: responder error

[Wed May 27 09:00:23.704694 2015] [ssl:error] [pid 1142] (70007)The timeout specified has expired: [client 78.209.132.6:53434] AH01977: failed reading line from OCSP server
[Wed May 27 09:00:23.704735 2015] [ssl:error] [pid 1142] [client 78.209.132.6:53434] AH01980: bad response from OCSP server: (none)
[Wed May 27 09:00:23.704774 2015] [ssl:error] [pid 1142] AH01941: stapling_renew_response: responder error

[Mon Apr 27 22:11:01.259322 2015] [ssl:error] [pid 14944] [client 2a01:e34:ee4f:5220:20c:29ff:fe7a:8131:59463] AH01980: bad response from OCS server: 500 Internal Server Error

[Mon Jun 15 12:00:23.085721 2015] [ssl:error] [pid 26129] (70007)The timeout specified has expired: [client 157.55.39.199:60390] AH01977: failed reading line from OCSP server
[Mon Jun 15 12:00:23.085767 2015] [ssl:error] [pid 26129] [client 157.55.39.199:60390] AH01980: bad response from OCSP server: (none)
[Mon Jun 15 12:00:23.085814 2015] [ssl:error] [pid 26129] AH01941: stapling_renew_response: responder error


Titre: Erreur serveur OCSP
Posté par: vivien le 30 juin 2015 à 10:27:48

De nouveau une erreur OCSP ce matin.

J'ai réussi à  avoir les info données par le site https://ssldecoder.org

Pendant le problème :
(https://lafibre.info/images/ssl/201506_erreur_ocsp_try_later_1.png)

Juste après la résolution : (sans action de ma part)
(https://lafibre.info/images/ssl/201506_erreur_ocsp_try_later_2.png)

Titre: Erreur serveur OCSP
Posté par: vivien le 02 juillet 2015 à 15:22:37

Je n'ai pas trouvé la cause du problème.

J'ai donc désactivé OCSP.

J'imagine que c'est à cause d'un bug Apache2 ou StartSSL

Titre: Erreur serveur OCSP
Posté par: vivien le 20 août 2015 à 16:49:15

Wikipedia aussi est victime des problèmes de renouvellement du cache OCSP d'Apache :

De mon coté, je n'ai pas trouvé d'autres solutions que de désactiver OCSP Stapling

L'erreur rencontré par Wikipedia est tout de même différente de celle que j'ai rencontré.

(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp.png)

(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp_1.png)

Titre: Erreur serveur OCSP
Posté par: BadMax le 20 août 2015 à 16:52:29

Ni ?

Pourquoi je n'ai pas le problème ?

Titre: Erreur serveur OCSP
Posté par: vivien le 20 août 2015 à 16:58:52

Avec Firefox ?

Chrome ne fait pas ce type de vérification de cette façon et il n'est donc pas impacté par les pb OCSP

Le problème serait chez GlobalSign :
(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp_2.png)

Titre: Erreur serveur OCSP
Posté par: BadMax le 20 août 2015 à 22:39:42

J'étais au boulot avec Firefox sous Ubuntu, je suis rentré, toujours OK sous Linux sous FF 37.0.2

Titre: Erreur serveur OCSP
Posté par: Marin le 22 août 2015 à 20:33:02

Avec Firefox, sur le moment, https://fr.wikipedia.org/ fonctionnait mais pas https://upload.wikimedia.org/ (https://upload.wikimedia.org/). Tout fonctionnait avec curl.