carleone Опубликовано 16 февраля, 2011 (изменено) · Жалоба Добрый день. Получили SSL сертификат Thawte123, установили в Апач. И появилась проблема, каждый браузер при заходе проверяет отозваность сертификата по протоколу OCSP. Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome). Как вы решаете данную проблему доступа без самоподписаных серфтификатов и установкой их в корень? Изменено 16 февраля, 2011 пользователем carleone Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 17 февраля, 2011 · Жалоба Мы у себя поставили в кабинете сертификат от startssl.com Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voron Опубликовано 17 февраля, 2011 · Жалоба Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome). разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 17 февраля, 2011 · Жалоба Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 17 февраля, 2011 · Жалоба Мы у себя поставили в кабинете сертификат от startssl.com Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен. То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =) Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает. Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается. Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 17 февраля, 2011 · Жалоба речь шла при доступе на сайт статистики при отключенном инете ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 22 февраля, 2011 · Жалоба То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =) Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает. Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается. Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него. Да, без доступа в инет тоже так происходит. Но только один раз, следующие попытки уже не требуют наличия Интернета даже после перезапуска браузера. Проверял на Опере 11 и IE 7. Ну а как по-другому оно работать будет? До центра сертификации ему единожды в любом случае надо достучаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voron Опубликовано 23 февраля, 2011 · Жалоба Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате. DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК. прозрачное проксирование и только url oscp в разрешённых - пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...