carleone Опубликовано 16 февраля, 2011 (изменено) Добрый день. Получили SSL сертификат Thawte123, установили в Апач. И появилась проблема, каждый браузер при заходе проверяет отозваность сертификата по протоколу OCSP. Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome). Как вы решаете данную проблему доступа без самоподписаных серфтификатов и установкой их в корень? Изменено 16 февраля, 2011 пользователем carleone Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 17 февраля, 2011 Мы у себя поставили в кабинете сертификат от startssl.com Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voron Опубликовано 17 февраля, 2011 Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome). разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 17 февраля, 2011 Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 17 февраля, 2011 Мы у себя поставили в кабинете сертификат от startssl.com Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен. То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =) Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает. Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается. Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 17 февраля, 2011 речь шла при доступе на сайт статистики при отключенном инете ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 22 февраля, 2011 То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =) Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает. Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается. Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него. Да, без доступа в инет тоже так происходит. Но только один раз, следующие попытки уже не требуют наличия Интернета даже после перезапуска браузера. Проверял на Опере 11 и IE 7. Ну а как по-другому оно работать будет? До центра сертификации ему единожды в любом случае надо достучаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voron Опубликовано 23 февраля, 2011 Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК. прозрачное проксирование и только url oscp в разрешённых - пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...