La Fibre
Fonctionnement du forum => A lire avant de commencer... => Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: scope le 26 mai 2015 à 19:10:25
-
soudain avec Firefox, même après plusieurs essais:
Une erreur est survenue pendant une connexion à lafibre.info. Le serveur OCSP suggère de réessayer plus tard. (Code d'erreur : sec_error_ocsp_try_server_later)
alors que l'accès au site fonctionne avec IE11
edit: à l'instant, accès site ok à nouveau avec firefox
-
Pareil avec Opera. Fonctionne avec Chrome.
-
Ce matin, j'ai eu un blocage complet avec Firefox sous Linux (impossible de passer outre) avec le message, confirmé par SSL Labs "OCSP response failed: TRY_LATER" C'est assez vite parti mais je suis étonné de ce type d'erreur, normalement, le fait de mettre de l'OCSP Stapling, permet une meilleur disponibilité, vu qu'on interroge un même serveur pour le site et la non révocation du certificat https.
(https://lafibre.info/images/ssl/201505_erreur_ocsp_try_later_1.png)
-
En suivant cette procédure https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html (https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html), j'arrive à reproduire le problème.
Il semble que ce soit lié aux serveurs de StartSSL qui ne répondent pas (ou incorrectement) http://ocsp.startssl.com.
-
Le même problème s'est produit momentanèment aujourd'hui.
Sous Firefox, mettre security.ssl.enable_ocsp_stapling à false dans about:config contournait le problème.
(https://lafibre.info/images/ssl/201505_erreur_ocsp_try_later_2.png)
-
C'est bien embêtant, cette erreur TRY_LATER, ce type de problème arrive tout seul et repart de la même façon sans action de ma part.
Savez-vous comment le superviser ?
Je désactive OCSP Stapling ?
Si vous pensez pouvoir maider pour le résoudre, la configuration utilisée est détaillée là : https://lafibre.info/cryptographie/tuto-https/msg153945/#msg153945
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
J'utilise Apache 2.4.7
-
C'est bien présent dans les logs :
Voic le contenu en recherchant OCSP et stapling :
[Tue May 26 19:00:24.176056 2015] [ssl:error] [pid 30779] [client 78.238.115.92:51428] AH01980: bad response from OCSP server: 500 Internal Server Error
[Tue May 26 19:00:24.176117 2015] [ssl:error] [pid 30779] AH01941: stapling_renew_response: responder error
[Wed May 27 09:00:23.704694 2015] [ssl:error] [pid 1142] (70007)The timeout specified has expired: [client 78.209.132.6:53434] AH01977: failed reading line from OCSP server
[Wed May 27 09:00:23.704735 2015] [ssl:error] [pid 1142] [client 78.209.132.6:53434] AH01980: bad response from OCSP server: (none)
[Wed May 27 09:00:23.704774 2015] [ssl:error] [pid 1142] AH01941: stapling_renew_response: responder error
[Mon Apr 27 22:11:01.259322 2015] [ssl:error] [pid 14944] [client 2a01:e34:ee4f:5220:20c:29ff:fe7a:8131:59463] AH01980: bad response from OCS server: 500 Internal Server Error
[Mon Jun 15 12:00:23.085721 2015] [ssl:error] [pid 26129] (70007)The timeout specified has expired: [client 157.55.39.199:60390] AH01977: failed reading line from OCSP server
[Mon Jun 15 12:00:23.085767 2015] [ssl:error] [pid 26129] [client 157.55.39.199:60390] AH01980: bad response from OCSP server: (none)
[Mon Jun 15 12:00:23.085814 2015] [ssl:error] [pid 26129] AH01941: stapling_renew_response: responder error
-
De nouveau une erreur OCSP ce matin.
J'ai réussi à avoir les info données par le site https://ssldecoder.org
Pendant le problème :
(https://lafibre.info/images/ssl/201506_erreur_ocsp_try_later_1.png)
Juste après la résolution : (sans action de ma part)
(https://lafibre.info/images/ssl/201506_erreur_ocsp_try_later_2.png)
-
Je n'ai pas trouvé la cause du problème.
J'ai donc désactivé OCSP.
J'imagine que c'est à cause d'un bug Apache2 ou StartSSL
-
Wikipedia aussi est victime des problèmes de renouvellement du cache OCSP d'Apache :
De mon coté, je n'ai pas trouvé d'autres solutions que de désactiver OCSP Stapling
L'erreur rencontré par Wikipedia est tout de même différente de celle que j'ai rencontré.
(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp.png)
(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp_1.png)
-
Ni ?
Pourquoi je n'ai pas le problème ?
-
Avec Firefox ?
Chrome ne fait pas ce type de vérification de cette façon et il n'est donc pas impacté par les pb OCSP
Le problème serait chez GlobalSign :
(https://lafibre.info/images/ssl/201508_wikipedia_erreur_oscp_2.png)
-
J'étais au boulot avec Firefox sous Ubuntu, je suis rentré, toujours OK sous Linux sous FF 37.0.2
-
Avec Firefox, sur le moment, https://fr.wikipedia.org/ fonctionnait mais pas https://upload.wikimedia.org/ (https://upload.wikimedia.org/). Tout fonctionnait avec curl.