― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 9 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2018年4月03日(火) 12:08 
59.0.2(64ビット)環境での事象です。

突発的に以下エラーでサイトが表示されなくなります。10~20分前後で自然解消されていますが、1日1回ぐらいの頻度で発生します。


www.~~~.comへの接続中にエラーが発生しました。The OCSP server has no status for the certificate. (エラーコード: sec_error_ocsp_unknown_cert)
・受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
・この問題をWebサイトの管理者に連絡してください。

オプションでOSCPの正当性チェックを無視にすれば回避は出来るのかもしれませんが、そもそもこれが現状のFireFoxの不具合によるものなのでしょうか。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年4月04日(水) 23:23 
オフライン

登録日時: 2014年2月22日(土) 00:59
記事: 3654
Die8 さんが書きました:
オプションでOSCPの正当性チェックを無視にすれば回避は出来るのかもしれませんが、そもそもこれが現状のFireFoxの不具合によるものなのでしょうか。
エラーが出た = Firefoxの不具合、というわけではありません。サイトに問題があって正しくエラー表示で警告しているという可能性を考えてみてください。

Die8 さんが書きました:
突発的に以下エラーでサイトが表示されなくなります。10~20分前後で自然解消されていますが、1日1回ぐらいの頻度で発生します。
そのエラーが出て表示されなくなるサイトというのが特定のサイトであるならば、そのサイトのURLを教えてください。
突発的というのも、特定のコンテンツにアクセスした場合とか、なにかのきっかけがあるはずです。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 03:20 
さくらサーバを利用しております。サイトアドレスはセキュリティの問題上お教えする事ができません。
さくらの共用SSLを用いています。さくらサーバに問い合わせたところ、問題発生の時間帯にサーバの不具合は無かったとの事です。

https://~~~.sakura.ne.jp/

上記アドレスにてエラーが発生する場合が稀にある状態です。
ちなみにChrome, IEでは表示されます。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 03:23 
追伸

特定のコンテンツのみエラーが発生するわけではなく、エラーが発生する場合は従属するディレクトリ全てでエラーが発生します。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 06:56 
オフライン
Moderator

登録日時: 2011年4月06日(水) 10:16
記事: 1905
お住まい: Tokyo
引用:
59.0.2(64ビット)環境での事象です。

59.0.2から始まったのか、それ以前からだったのか。

とりあえず、「The OCSP server has no status for the certificate. 」をキーワードにした検索をして、似た事例がないかの確認を。

引用:
問題発生の時間帯にサーバの不具合は無かったとの事です。

サーバーの不具合というよりも、証明書の不具合かと。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM
Mozilla/5.0 (Windows NT 6.1; rv:59.0) Gecko/20100101 Firefox/59.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 15:06 
酷似事例に関しては概ね調べたのですが、確定的な解決方法はOCSPレスポンダサーバの検証を無効にする以外見当たりませんでした。
根本解決ではないので、質問させていただいた次第です。
証明書の不具合?であれば、さくらサーバが対応するか、そもそも証明書の検証方法がFireFoxだけ特殊なので対応不可能という事になりますかね。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 15:09 
追伸

現状ですが、当初以来エラー発生は確認できておりません。
故に再現性は非常に低い状況です。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 20:26 
オフライン

登録日時: 2014年2月22日(土) 00:59
記事: 3654
Die8 さんが書きました:
さくらサーバを利用しております。サイトアドレスはセキュリティの問題上お教えする事ができません。
さくらの共用SSLを用いています。
この書き方からすると、問題が発生するのは「さくらのレンタルサーバ上にある特定のサイト」で、Die8さんはそのサイトの運営者もしくは関係者ということなのですね。

Die8 さんが書きました:
さくらサーバに問い合わせたところ、問題発生の時間帯にサーバの不具合は無かったとの事です。
私が申し上げたのは「サイトに問題があって正しくエラー表示で警告しているという可能性」です。
すなわちサイトの証明書に不備がある可能性で、レンタルサーバの障害という意味ではありません。

Die8 さんが書きました:
10~20分前後で自然解消されていますが、
Die8 さんが書きました:
エラーが発生する場合は従属するディレクトリ全てでエラーが発生します。
OCSPサーバはクライアントからの接続情報を一定時間キャッシュするだろうし、クライアントも応答をキャッシュするはずなのでおかしくはないと思います。

Die8 さんが書きました:
証明書の不具合?であれば、さくらサーバが対応するか、そもそも証明書の検証方法がFireFoxだけ特殊なので対応不可能という事になりますかね。
さくらの「共有SSL」サービスを利用しているということなら、そのサーバ証明書は Firefox がOCSPサーバに問い合わせを行って問題ないようになっているか、今一度問い合わせしてみるべきでしょう。
問題の起きたサイトのURLも証明書の内容もここではDie8さんしかわからないわけですから、ご自身で動いていただくしかありません。

証明書の失効チェック方法ですが、各ブラウザで違います。
正確なところは確認していないので間違っているかもしれませんが、たぶんこんな感じだったはずです。

  • IE: OCSPサーバに接続して確認、接続できない場合はCRLで確認、それでダメならエラー表示
  • Firefox: オプションで有効になっていればOCSPサーバに接続して確認、接続できなければエラー表示
  • Chrome: OCSP や CRLを使わずに、CRLからGoogleが独自に作成した CRLSet をブラウザにアップデートしておいて確認

この中で特殊なのはむしろChromeです。個人的にはこのChromeの方式はGoogleのやりたい放題な感じがしていかがなものかと思ってます…

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2018年4月05日(木) 20:37 
オフライン
Moderator

登録日時: 2011年4月06日(水) 10:16
記事: 1905
お住まい: Tokyo
引用:
10~20分前後で自然解消されています

ということですが、先述の例で検索すると、以下のような似た事例がヒットします。

https://www.cybertrust.ne.jp/sureserver ... 09.html#13
「弊社の OCSP サーバーはブラウザから接続された情報を 6 時間ほどキャッシュを保持するため、初回のエラー発生から以降 6 時間ほどエラーが継続します。
エラーが発生した場合は、初回のエラー発生から 6 時間以上時間をおいて接続してください。 」

https://www.fujissl.jp/faq/error/1203/
「弊社のOCSPサーバーはブラウザから接続された情報を30分間ほどキャッシュを保持するため、初回のエラー発生から最大で30分間ほどエラーが継続します。
エラーが発生した場合は、初回のエラー発生から30分以上時間をおいて接続してください。」


さくらもこれと似たような仕組みになっていたりしませんか?

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM
Mozilla/5.0 (Windows NT 6.1; rv:59.0) Gecko/20100101 Firefox/59.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 9 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[19人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean