Jump to content
Калькуляторы

SSL + Личный кабинет в серых сетях OCSP

Добрый день.

 

Получили SSL сертификат Thawte123, установили в Апач.

 

И появилась проблема, каждый браузер при заходе проверяет отозваность сертификата по протоколу OCSP. Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

 

Как вы решаете данную проблему доступа без самоподписаных серфтификатов и установкой их в корень?

Edited by carleone

Share this post


Link to post
Share on other sites

Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

Share this post


Link to post
Share on other sites

Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

Share this post


Link to post
Share on other sites
Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).
разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

Share this post


Link to post
Share on other sites
Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

Share this post


Link to post
Share on other sites

речь шла при доступе на сайт статистики при отключенном инете ;)

Share this post


Link to post
Share on other sites
То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

Да, без доступа в инет тоже так происходит. Но только один раз, следующие попытки уже не требуют наличия Интернета даже после перезапуска браузера. Проверял на Опере 11 и IE 7.

 

Ну а как по-другому оно работать будет? До центра сертификации ему единожды в любом случае надо достучаться.

Share this post


Link to post
Share on other sites
Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).
разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

прозрачное проксирование и только url oscp в разрешённых - пробовали?

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this