[carleone]

Добрый день.

 

Получили SSL сертификат Thawte123, установили в Апач.

 

И появилась проблема, каждый браузер при заходе проверяет отозваность сертификата по протоколу OCSP. Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

 

Как вы решаете данную проблему доступа без самоподписаных серфтификатов и установкой их в корень?

Изменено 16 февраля, 2011 пользователем carleone

[Mallorn]

Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

[voron]

Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

[carleone]

Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

[carleone]

Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

[martin74]

речь шла при доступе на сайт статистики при отключенном инете ;)

[Mallorn]

То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

Да, без доступа в инет тоже так происходит. Но только один раз, следующие попытки уже не требуют наличия Интернета даже после перезапуска браузера. Проверял на Опере 11 и IE 7.

 

Ну а как по-другому оно работать будет? До центра сертификации ему единожды в любом случае надо достучаться.

[voron]

Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

прозрачное проксирование и только url oscp в разрешённых - пробовали?