web-dev-qa-db-fra.com

Certificat de signature OCSP invalide dans la réponse OCSP

Je veux ouvrir la page suivante dans Firefox et obtenir une erreur.

https://www.acm.nl/nl/

Secure Connection Failed

An error occurred during a connection to www.acm.nl. 
Invalid OCSP signing certificate in OCSP response. 
(Error code: sec_error_ocsp_invalid_signing_cert)

The page you are trying to view cannot be shown because the authenticity 
of the received data could not be verified.

Quand j'ouvre cette page dans Chrome Il s'ouvre normalement. Pourquoi l'objet Firefox?

tlschromefirefoxocsp
4
SPRBRN

Il semble que leur OCSP-CERT a expiré le 10 septembre.

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 132 (0x84)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=NL, O=Digidentity B.V., CN=Digidentity Services CA - G2
        Validity
            Not Before: Sep 20 10:40:55 2012 GMT
            Not After : Sep 10 10:40:55 2014 GMT
        Subject: C=NL, O=Digidentity B.V., CN=Digidentity OCSP

Code
[.____] J'ai utilisé ces trois commandes:

$ openssl s_client -connect www.acm.nl:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > acm.pem

$ openssl s_client -connect www.acm.nl:443 -showcerts </dev/null 2>/dev/null > chain.pembundle

$ openssl ocsp -issuer chain.pembundle -cert acm.pem -url $(openssl x509 -noout -ocsp_uri -in acm.pem)
Response Verify Failure
2676036:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:certificate has expired
acm.pem: ERROR: No Status found.

Plus de détails
[.____] Utilisez ceci au lieu de la troisième commande pour plus de détails:

$ openssl ocsp -issuer chain.pembundle -cert acm.pem -text -url $(openssl x509 -noout -ocsp_uri -in acm.pem)

Link
[.____] J'ai copié les commandes d'ici: https: //raymii.org/s/articles/openssl_Mantuly_verify_a_certificate_against_an_ocsp.html

5
StackzOfZtuff

Quand j'ouvre cette page dans Chrome Il s'ouvre normalement. Pourquoi l'objet Firefox?

Chrome ne fait que vérifier très limité de révocations, en particulier cela n'utilise plus OCSP. Firefox a à la place OCSP vérifie.

3
Steffen Ullrich

Cette erreur se produit car la date de votre système est incorrecte. Si c'est dans le passé ou dans l'avenir, le certificat serait invalide.

0
mohammadreza sharifi