Ошибки соединения, с которыми приходится сталкиваться при посещении сайтов, могут носить как общий, так и эксклюзивный характер. Под словом «эксклюзивный» мы в данном случае имеем ввиду ошибку, появляющуюся только в конкретном браузере, как, например, «Ошибка при установлении защищённого соединения» с кодом SEC_ERROR_OCSP_INVALID_SIGNING_CERT в Mozilla Firefox. Судя по описанию, причиной появления ошибки является некая OCSP, каким-то образом связанная с используемым сайтом сертификатом безопасности.
И действительно, данная ошибка соединения чаще всего бывает вызвана сертификатом, срок действия которого истек. Увы, от пользователя здесь мало что зависит, устранением причин неполадки должен заниматься администратор сайта, тем не менее, кое-какие моменты пользователю всё же стоит проверить. Устранение другой, менее распространенной причины ошибки соединения, напротив, целиком зависит от пользователя.
Откройте командой timedate.cpl настройки даты и времени и убедитесь, что последние соответствуют вашему часовому поясу. Если у вас отключена автоматическая синхронизация даты и времени, обязательно включите, было замечено, что даже незначительное отставание часов в Firefox приводило к описанной выше ошибки.
После установки правильной даты и времени следует перезагрузить компьютер.
Вызвать ошибку установки защищенного соединения с указанным кодом может также сбой в работе механизма OCSP, отвечающего за проверку достоверности SSL-сертификата.
Хотя этого делать не рекомендуется, но если вы не видите иного выхода, попробуйте его отключить.
Перейдите по внутреннему адресу about:config на страницу флагов.
С помощью встроенного поиска найдите настройку security.ssl.enable_ocsp_stapling и дважды кликните по ней, поменяв таким образом ее значение с true на false.
Перезапустите браузер.
Что можно и нужно проверить еще? Появление ошибки с кодом SEC_ERROR_OCSP_INVALID_SIGNING_CERT отмечалось при работе расширений, блокирующих рекламу. Отключите все расширения и плагины, так или иначе связанные с блокировкой любого типа контента и проверьте результат. Если ошибка исчезла, определите проблемный компонент методом исключения и удалите либо замените его.
Загрузка…
Пользователи браузера Mozilla Firefox могут столкнуться с проблемой под кодом «sec_error_ocsp_future_response». При появлении этой ошибки пользователь не может получить доступ к некоторым сайтам, особенно к сайтам на HTTPS. В этой статье будут представлены различные способы решения этой проблемы.
Что это за ошибка
Ошибка «sec_error_ocsp_future_response» является довольно распространённой среди пользователей, особенно разработчиков, которые тестируют свои сайты. Она появляется, когда пользователь пытается зайти на сайт, в котором содержатся многочисленные CSS-элементы. Браузер по разным причинам конфликтует с «начинкой» сайта, на который пользователь пытается зайти, и поэтому выдаёт ошибку.
Способы решения ошибки
Добавление сайта в список исключений
Внутренняя защита, которая автоматически включена в браузере Firefox, может препятствовать вхождению пользователя на нужный ему сайт. Чтобы отключить эту защиту, вам нужно нажать на иконку щита рядом с адресной строкой сайта и отключить переключатель, который находится рядом с надписью «Улучшенная защита от отслеживания». После отключения этой функции сайт добавится в ваш список исключений, и, возможно, это поможет вам с решением данной проблемы.
Удаление повреждённого файла cert8.db
Иногда, по неизвестным причинам, файл cert8.db, который отвечает за некоторые данные в вашем браузере, может повредиться и помешать корректной работе браузера. Для того, чтобы удалить этот файл, вам нужно:
Отключение или удаление вашего антивируса
Некоторые антивирусы нередко конфликтуют с системой и определёнными программами, мешая их работе в целях безопасности пользователя, даже если эти приложения не представляют никакой опасности. Для того чтобы решить проблему с помощью этого способа, вам нужно временно отключить ваш антивирус и попробовать заново запустить сайт.
Если ошибка исчезнет и сайт откроется корректно, вам может понадобиться удалить ваш нынешний антивирус и заменить его на один из многочисленных антивирусов, которые не настолько сильно конфликтуют с системой.
Отключение проверки SSL
SSL-проверка сайтов работает на сайтах HTTPS для того, чтобы проверить сертификат сайта и в случае появления каких-либо проблем предупредить пользователя и предотвратить его пользование данным сайтом. Также это мешает разработчикам сайтов корректно тестировать свои сайты с протоколом HTTPS или обычным пользователям — пользоваться определёнными сайтами.
Для того чтобы отключить эту проверку, вам понадобится открыть свойства браузера Mozilla Firefox, нажав на его ярлык правой кнопкой мыши.
В открывшемся окне вам нужно нажать на вкладку «Ярлык» и в строчке «Объект:» приписать фразу —ignore-certificate-errors, а после этого нажать кнопку «Применить» и закрыть окно.
Надеемся, что наша статья проинформировала вас о способах решения вашей проблемы. Если какой-то из этих способов помог вам, просим написать в комментариях, какой именно и как сложно вам было это сделать.
При переходе на какой-либо сайт (обычно с помощью браузера Firefox) пользователь может столкнуться с ошибкой открытия данного сайта, и соответствующим сообщением «Неверный сертификат подписи OCSP в OCSP-ответе. (Код ошибки: sec_error_ocsp_invalid_signing_cert)». Обычно это обозначает ситуацию, когда браузер по определённым причинам посчитал, что сертификат данного сайта отозван, потому, по соображениям безопасности, заблокировал доступ на данный ресурс. В данном материале я расскажу, что за ошибка, каковы её причины, и как исправить данную ошибку на ваших ПК.
Содержание
- Что значит данная ошибка?
- Как избавиться от проблемы
- Заключение
Что значит данная ошибка?
В переводе с английского языка текст данной ошибки звучит как «Ошибка безопасности. Неверно подписанный OCSP сертификат». Аналогичными ошибками с сертификатом SSL являются ssl_error_rx_record_too_long и ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Напомню читателю, что аббревиатура OCSP является сокращением от «Online Certificate Status Protocol» (в переводе – «Протокол статуса онлайн-сертификата»). Данный протокол предназначен для проверки статуса сертификата на предмет его отозванности, когда выданный ранее сертификат для какого-либо сайта, удостоверяющий безопасность работы с данным сайтом, может быть отозван у указанного сайта по каким-либо причинам (например, Центр сертификации посчитал работу с таким сайтом не безопасной).
Таким образом, браузер, переходя на данный сайт с «отозванным» сертификатом, может выдать вам ошибку и сообщение «sec_error_ocsp_invalid_signing_cert».
Какие ещё могут быть причины появления подобного сообщения об ошибке? Я бы отметил следующее:
- Случайный сбой в работе компьютера;
- Некорректные системные дата и время;
- Временные неполадки на нужном сетевом ресурсе.
Как избавиться от проблемы
Прежде всего, рекомендую убедиться, что дата и время на вашем компьютере установлены правильно. Если нет, тогда наведите курсор мыши на демонстрируемые дату и время внизу экрана справа, кликните правой клавишей мыши, выберите «Настройка даты и времени» — «Изменить дату и время», и установите их корректные значения.
Если же дата и время отображаются на ПК корректно, то возникновение ошибки может иметь временную природу, не зависящую от обычного пользователя (проблемы на конкретном сетевом ресурсе). Обычно данная ошибка довольно быстро устраняется самой администрацией сайта, и при последующем переходе на такой сайт пользователь не встретит никаких проблем.
Если же вы не имеете желания ждать, тогда отключите уведомления OCSP, для чего в браузере Mozilla введите в адресной строке:
about:config — и нажмите на «Enter». При необходимости кликните на «Я принимаю на себя риск», найдите в списке настроек «security.ssl.enable_ocsp_stapling», и, дважды кликнув на данную строку, установите значение данного показателя в «false». После этого указанная ошибка не будет отображаться, и вы сможете выполнить вход на ранее недоступный ресурс.
Как я уже писал выше, подобная ситуация с сертификатом довольно быстро бывает решена администрацией сайта, потому через какое-то время вернитесь в указанные настройки браузера, и вновь установите данный показатель на «true».
Заключение
Обычно причиной ошибки sec_error_ocsp_invalid_signing_cert является неверное установленные дата и время на компьютере, а также временные проблемы конкретного сетевого ресурса с выданным ему сертификатом безопасности. Для устранения рассматриваемой мной дисфункции проверьте корректность системных даты и времени, а также временно отключите указанный мной параметр в настройках браузера, это позволит избежать появления сообщения _error_ocsp_invalid_signing_cert на вашем ПК.
Ошибка при установлении защищенного соединения, появляется при попытке открыть https сайт в браузере Mozilla Firefox.
OCSP (Online Certificate Status Protocol) — с помощью данного протокола, веб-браузеры могут проверить достоверность SSL-сертификата.
Может быть вызвана либо ошибкой сервера, к которому вы обращаетесь, либо проблемой используемой версии браузера Mozilla Firefox. Проблема чаще отмечается при использовании Mozilla Firefox ESR, хотя это может быть просто совпадением.
Для решения проблемы вы можете попробовать перезагрузить компьютер или попробовать открыть нужный сайт в другом браузере, например Google Chrome(этот браузер не выполняет проверки OCSP).
А если это не поможет, используйте следующий обходной путь в браузере Mozilla Firefox (если вы являетесь пользователем, а не создателем данного сайта).
В адресной строке браузера, введите about:config и нажмите кнопку Enter.
В появившемся окне нажмите кнопку Я принимаю на себя риск.
В строке Поиск введите значение ocsp.
В появившемся списке найдите параметр security.ssl.enable_ocsp_stapling (значение по умолчанию true) , щелкните по нему дважды левой клавишей мыши, значение параметра должно стать false.
Закройте и запустите браузер заново (можете попробовать просто обновить нужную вам страницу).
Ошибка SEC_ERROR_OCSP_TRY_SERVER_LATER должна быть исправлена и вход на сайт должен быть выполнен успешно.
Время на прочтение
6 мин
Количество просмотров 5.6K
Две недели назад пользователи macOS начали сообщать о странных зависаниях при открытии приложений, не загруженных из Mac App Store. Многие подозревали аппаратные проблемы со своими устройствами, но из социальных сетей они узнали, что это широко распространённая проблема. И не случайно она возникла вскоре после запуска macOS Big Sur.
В конце концов, твит Джеффа Джонсона точно указал основную причину. Оказалось, что эппловская служба “OCSP Responder” слишком перегружена, поэтому macOS не могла проверить криптографические сертификаты разработчиков приложений.
Но почему служба OCSP Responder оказалась на критическом пути запуска приложений? В этой статье мы кратко обсудим подпись кода, как работает онлайн-протокол статуса сертификата (OCSP), почему он абсолютно неправильный и некоторые лучшие альтернативы. В отличие от других заметок о данном инциденте, я хочу обсудить именно практические криптографические аспекты (на высоком уровне) и предложить сбалансированную перспективу.
Подпись кода
На портале разработчиков Apple объясняет цель подписи кода:
Подпись кода вашего приложения гарантирует пользователям, что оно взято из известного источника и не изменено с момента последней подписи. Прежде чем интегрировать службы (app services), установиться на устройство или попасть в каталог приложений, приложение должно быть подписано сертификатом, выданным Apple.
Другими словами, чтобы приложению доверяли в macOS, его нужно подписать собственным сертификатом на основе пары ключей. Связка ключей используется для создания уникального сертификата «идентификатор разработчика», который включает в себя закрытый ключ для использования разработчиком и открытый ключ для распространения. Когда Apple подписала сертификат Developer ID, разработчик может использовать закрытый ключ для создания криптографических подписей на своих приложениях при каждом релизе.
При запуске приложения его подпись проверяется по открытому ключу сертификата разработчика. Затем проверяется сам сертификат, что срок его действия не истёк (сертификаты обычно действительны в течение одного года), и что в конечном итоге он подписан корневым сертификатом Apple. Также могут быть промежуточные сертификаты как часть цепочки вплоть до корневого сертификата. Это «цепочка доверия», поскольку сертификат Developer ID подписал приложение, промежуточный сертификат подписал сертификат Developer ID, а корневой сертификат Apple подписал промежуточный сертификат. Любое устройство Apple может проверить эту цепочку доверия и, следовательно, одобрить запуск приложения.
Это похоже на инфраструктуру открытых ключей TLS в интернете. Но также и принципиально отличается, поскольку у Apple полный контроль над собственной цепочкой доверия. Другим центрам сертификации не разрешается выдавать действительные сертификаты для подписи кода, поскольку все сертификаты должны быть привязаны к Apple.
Если верификация не прошла, то пользователь увидит страшное окно:
Отзыв
Что происходит, если разработчик нарушает правила Apple или теряет свой закрытый ключ? Центр сертификации должен мгновенно аннулировать выданные сертификаты. Если сертификат используется злонамеренно, недопустимо ждать дни или месяцы, пока он не истечёт естественным образом, иначе утечка секретного ключа сделает всю систему бесполезной.
Именно в такой ситуации происходит отзыв сертификата. Это дополнительный шаг в процессе проверки подписи, который включает в себя выяснение у центра сертификации, что сертификат всё ещё действителен.
В интернете это делается самым простым способом. Центр сертификации выдаёт вам список отозванных сертификатов (Certificate Revocation List, CRL) с серийными номерами всех отозванных сертификатов, и вы проверяете, что сертификат отсутствует в этом списке. Однако браузеры перестали использовать такой подход, так как список становился всё длиннее и длиннее. Особенно после того, как ужасающие эксплоиты вроде Heartbleed потребовали массового отзыва сертификатов.
Online Certificate Status Protocol (OCSP) — это альтернатива, позволяющая проверять сертификаты в режиме реального времени. Каждый сертификат содержит встроенный «ответчик OCSP» (OCSP Responder) — это URL-адрес, который вы запрашиваете, а он сообщает, был ли сертификат отозван. В случае с Apple это ocsp.apple.com. Так что теперь, в дополнение к проверке криптографической достоверности подписи, каждый раз при запуске приложения вы выполняете проверку в реальном времени на сайте Apple (с некоторым кэшированием), что они всё ещё считают сертификат разработчика легитимным.
Проблема доступности OCSP
Огромная проблема OCSP в том, что внешняя служба становится единой точкой отказа. Что произойдёт, если ответчик OCSP не работает или недоступен? Мы просто отказываемся проверять сертификат (hard-fail)? Или мы делаем вид, что проверка прошла успешно (soft-fail)?
Apple вынуждена использовать поведение soft-fail, иначе приложения не будут работать в офлайне. Все основные браузеры также реализуют поведение soft-fail, поскольку ответчики OCSP традиционно ненадёжны, а браузер хочет загрузить сайт, даже если ответчик центра сертификации временно не работает.
Но soft-fail (мягкий отказ) — не очень хороший вариант, потому что при наличии контроля над сетью злоумышленник может блокировать запросы к ответчику, и проверка будет пропущена. На самом деле такое «исправление» ошибки широко разошлось в твиттере во время этого инцидента: трафик к ocsp.apple.com блокировался строчкой в файл /etc/hosts. Многие оставят эту строчку в ближайшее время, поскольку отключение OCSP не вызывает никаких заметных проблем.
Инцидент
Если проверка OCSP у Apple построена на мягком отказе, то почему приложения зависали при отключении ответчика OCSP? Вероятно, потому что на самом деле это был другой сбой: ответчик OCSP на самом деле не был полностью отключён. Он просто плохо работал.
Из-за нагрузки от миллионов пользователей со всего мира, которые обновлялись на macOS Big Sur, серверы Apple замедлились и не отвечали должным образом на запросы OCSP. Но при этом работали достаточно хорошо, чтобы не сработал soft-fail.
Проблема приватности OCSP
В дополнение к проблеме доступности OCSP, протокол изначально не рассчитан на защиту приватности. Базовый запрос OCSP включает в себя незашифрованный HTTP-запрос к ответчику OCSP с серийным номером сертификата. Таким образом, не только ответчик может определить, какой сертификат вас интересует, но и ваш провайдер и любой другой человек, перехватывающий пакеты. Apple может составить список по порядку, приложения каких разработчиков вы открываете, и то же самое могут сделать посторонние лица.
Можно было бы добавить шифрование, и есть лучшая, более приватная версия под названием OCSP stapling, но Apple не сделала ни того, ни другого. На самом деле OCSP stapling не имеет смысла в этом сценарии, но эта технология иллюстрирует, что OCSP не должна допускать утечки данных по умолчанию.
Лучшее будущее
Этот инцидент вызвал оживлённую дискуссию в сообществе, причём одна сторона заявила: «Ваш компьютер на самом деле не ваш», а другая утверждает, что «Установить доверие к приложениям трудно, но Apple делает это хорошо». Я пытаюсь показать, что OCSP — это в любом случае ужасный способ управления отзывами сертификатов, а в будущем он приведёт к новым инцидентам, связанным с доступностью ответчиков и приватностью. На мой взгляд, это плохое инженерное решение — устанавливать зависимость запуска приложений от OCSP. По крайней мере, в краткосрочной перспективе они уменьшили ущерб, увеличив время кэширования ответов.
К счастью, практически созрел лучший метод отзыва сертификатов — CRLite. Он позволяет сократить до разумного размера списки всех отозванных сертификатов. В блоге Скотта Хельме даётся хорошее резюме, как CRLite использует фильтры Блума, чтобы вернуть прежний подход со списком отозванных сертификатов, который действовал до OCSP.
Устройства macOS могут периодически получать обновления этого списка CRL и выполнять проверку локально на устройстве, что решает проблемы доступности и конфиденциальности OCSP. С другой стороны, поскольку список отозванных сертификатов Developer ID намного меньше, чем список всех отозванных сертификатов PKI, стоит спросить, почему Apple не использует CRL. Возможно, они не хотят раскрывать информацию о том, какие сертификаты отозваны.
Заключение
В целом, этот инцидент стал хорошим поводом поразмышлять о модели доверия, которую продвигают такие организации, как Apple и Microsoft. Вредоносное ПО стало более изощренным, и большинство людей не в состоянии определить, безопасно ли запускать определённые бинарные файлы. Подпись кода кажется отличным криптографическим способом установить доверие для приложений и хотя бы связать приложения с известными разработчиками. И отзыв сертификатов является необходимой частью этого доверия.
Но всего несколько сбоев в процессе проверки OCSP портит всю криптографическую элегантность процесса подписи и проверки кода. OCSP также широко используется для сертификатов TLS в интернете, но там сбои менее катастрофичны из-за большого количества центров сертификации и повсеместного игнорирования сбоев со стороны браузеров. Более того, люди привыкли видеть веб-сайты время от времени недоступными, но они не ожидают того же от приложений на собственных компьютерах. Пользователей macOS обеспокоило то, что их собственные приложения пострадали из-за проблем инфраструктуры Apple. Однако это неизбежный результат, вытекающий из того факта, что проверка сертификатов зависит от внешней инфраструктуры, а никакая инфраструктура не является надёжной на 100%.
Скотт Хельме также выражает опасения по поводу власти, которую получают центры сертификации, если аннулирование сертификатов работает действительно эффективно. Даже если вас не беспокоит потенциальная возможность цензуры, иногда будут возникать ошибки, и их следует взвешивать относительно преимуществ безопасности. Как обнаружил один разработчик, когда Apple по ошибке отозвала его сертификат, риск работы на изолированной платформе заключается в том, что вас самого могут изолировать от неё.