https这种错误到底是火狐浏览器自己问题还是??

xyk

火狐浏览器有个设置
查询OSCP服务器，以确认当前域名有效
默认开启，关掉他

chuanchuanlak

xyk 发表于 2020-7-18 17:23
火狐浏览器有个设置
查询OSCP服务器，以确认当前域名有效
默认开启，关掉他 ...

在这里来的肯定都是要作为站长方式去解决啊, 你让跑别人家里去该他浏览器设置么

chuanchuanlak

最后结论: 网络教程完全是错的, 不能去开OCSP, 开了OCSP反而会导致自己的服务器出现OCSP装订状态:未装订,但是浏览器检查却又发现你的网站服务器OCSP:支持, 这样浏览器就不会去ssl官方检查证书了, 然后直接访问错误, 发现douban,myssl这些大网站全都没开OCSP装订

doctore

干扰的问题

ttPower

qq邮箱有时也会出现这种错误

Stevenchu

chuanchuanlak 发表于 2020-7-18 20:28
最后结论: 网络教程完全是错的, 不能去开OCSP, 开了OCSP反而会导致自己的服务器出现OCSP装订状态:未装订,但 ...

那一般说明你OCSP没设置成功吧...
你自己开完难道都被OpenSSL验证一下吗？

chuanchuanlak

Stevenchu 发表于 2020-7-19 11:35
那一般说明你OCSP没设置成功吧...
你自己开完难道都被OpenSSL验证一下吗？
...

测试是肯定成功的, 是它后面有几率间歇性的显示成装订状态未装订, 我去myssl.com测试, 有时显示已成功装订有时显示未装订,
在它显示未装订的是时候网站的OCSP支持性它也显示:支持, 这时候firefox测试就100%访问出错,
找不出原因, 因为apache的OCSP的设置就只有那几句代码, 无从改进,

前段时间开了OCSP时几乎每1~2小时都要出现firefox不能访问提示错误, 关了后目前过了接近1天, 一切正常中未再提示过错误

Stevenchu

chuanchuanlak 发表于 2020-7-18 23:48
测试是肯定成功的, 是它后面有几率间歇性的显示成装订状态未装订, 我去myssl.com测试, 有时显示已成功装 ...

这个很简单啊...
你代码里面cache timeout太短了吧...

SSLStaplingStandardCacheTimeout 3600

3600秒就是一个小时啊...
你这个是每1个小时就去管OCSP服务器要一次回复

问题是OCSP默认时间是2周
The default lifetime of OCSP Response Signing certificate is two weeks

你可以试试把3600换成604800

chuanchuanlak

SSLStaplingStandardCacheTimeout 3600
SSLStaplingErrorCacheTimeout 600

前面装订正常缓存有效期3600s, 可以测试改成3个月,
然后后面那句装订错误缓存600s改成10s,
不知道可不可以把出错后不能访问的几率影响降到最小

Stevenchu

chuanchuanlak 发表于 2020-7-18 23:56
SSLStaplingStandardCacheTimeout 3600
SSLStaplingErrorCacheTimeout 600

别三个月。

OCSP默认时间两周... 闹不好难道你要给用户发2个月多的OCSP过期回复？