Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firefox (36.0) - ongeldig OCSP-ondertekeningscertificaat

06-03-2015, 12:00 door Ivanhoe, 26 reacties
Laatst bijgewerkt: 06-03-2015, 12:51
Denkelijk sinds Firefox geupgrade is naar versie 36.0, krijg ik bij het bezoeken van (o.a.) Security.nl
de onderstaande foutmelding.

Beveiligde verbinding mislukt
Fout tijdens het verbinden met www.security.nl. Ongeldig OCSP-ondertekeningscertificaat in OCSP-antwoord. (Foutcode: sec_error_ocsp_invalid_signing_cert)
De pagina die u wilt bekijken kan niet worden weergegeven, omdat de echtheid van de ontvangen gegevens niet kon worden geverifieerd.
Neem contact op met de website-eigenaars om ze over dit probleem te informeren.

Voor zover ik 1,2,3 wat over ondertekeningscertificaten kan vinden, lijkt het me dat dit een bug in Firefox 36.0 is.
Weet iemand er meer van en/of hoe dit eventueel te repareren is?


Ja, hoor, hij gaat lekker.
Dan kan ik de bovenstaande fout rapporteren en in die pull-down vragen om meer info naar/op:
https://support.mozilla.org/kb/certificate-pinning-reports
Dan krijg ik gelijk deze/dezelfde foutmelding:

Beveiligde verbinding mislukt
Fout tijdens het verbinden met support.mozilla.org. Het OCSP-antwoord bevat verouderde informatie. (Foutcode: sec_error_ocsp_old_response)
De pagina die u wilt bekijken kan niet worden weergegeven, omdat de echtheid van de ontvangen gegevens niet kon worden geverifieerd.
Neem contact op met de website-eigenaars om ze over dit probleem te informeren.


Ik heb inmiddels ook een oud artikel gevonden hier op Security.nl en kan tot op heden in de Opties of about:config geen verandering instellen die het euvel repareert of tijdelijk verhelpt.
https://www.security.nl/posting/26438/Firefox+OCSP+error%3A+https%3A__pgp_custhelp_com_
Zie bijvoorbeeld bij: 13-10-2009, 21:24 door Thasaidon

De foutmelding staat ook niet tussen de varianten hieronder.
https://support.mozilla.org/nl/kb/foutmelding-beveiligde-verbinding-mislukt
Reacties (26)
06-03-2015, 12:38 door [Account Verwijderd] - Bijgewerkt: 06-03-2015, 12:38
[Verwijderd]
06-03-2015, 13:22 door Leo van Lierop
Nee, met 36.0.1 kan ik bijvoorbeeld nog steeds niet op: https://support.microsoft.com/kb/274846
Die een Foutcode: sec_error_ocsp_old_response geeft.
06-03-2015, 13:52 door Ivanhoe - Bijgewerkt: 06-03-2015, 13:53
@Forester
Ik dacht dat ik de laatste versie had, maar als ik [Help]>>[Over Firefox] doe/deed, vond Firefox de laatste update (36.0.1) niet.
Misschien ook omdat er iets niet klopt met de OCSP certificaat afhandeling?

De Mozilla download-pagina voor Firefox, via de GratisSoftwareSite, geeft trouwens dezelfde foutmelding als Leo van Lierop krijgt bij Microsoft.
Foutcode: sec_error_ocsp_old_response
https://www.mozilla.org/en-US/firefox/all/

Ik heb Firefox 36.0.1. moeten downloaden in IE en daarin heb ik trouwens ook dit topic open (vanzelf).
Als ik in Firefox 36.0.1 naar Securty.nl ga, dan krijg ik:
Foutcode: sec_error_ocsp_invalid_signing_cert
06-03-2015, 14:00 door [Account Verwijderd] - Bijgewerkt: 06-03-2015, 14:30
[Verwijderd]
06-03-2015, 15:08 door Anoniem
Bij mij werkt in Firefox 36.0.1 alles normaal.
Dat is op win7. Mijn vrouw gebruikt Firefox op de Mac en daar werkt ook alles goed.

Bij https://support.microsoft.com/kb/274846 zien wij: "How to set advanced settings in Internet Explorer by using Group Policy Objects "
06-03-2015, 15:48 door Anoniem
OCSP controle dingetje & voorlopig 'opgelost'

Ik zie het ook op een Mac gebeuren in een ESR browser variant (31.5.0).
Wanneer je je OCSP setting in Firefox op extra controleren hebt gezet (dus aangevinkt) in het voorkeuren paneel onder de ESR versie nog wel te zien met de keuzetekst
[x] When an OCSP server connection fails, threat the certificate as invalid

Dan laadt de site van MS niet een geeft een foutmelding op de pagina https://support.microsoft.com/kb/274846
Secure Connection Failed

An error occurred during a connection to support.microsoft.com. The OCSP response contains out-of-date information. (Error code: sec_error_ocsp_old_response)

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.

Wanneer je die extra Firefox OCSP controle onder Firefox uitschakelt laadt de MS pagina wel (bij mij dan).

In Firefox heb je die oude OCSP controle setting niet meer standaard in het voorkeuren paneel, die is er een tijdje geleden door Mozilla weggehaald en deels vervangen door een andere keuzeoptie.
De oude OSCP controle setting is echter nog wel te vinden via de
about:config
(intypen in je url bar)

Zoek op nadat je door het about:condig waarschuwingsmenu bent gekomen :
security.OCSP.require

-> Staat de OCSP setting op "true"?
security.OCSP.require;true
Dan zal de pagina van MS niet laden

-> Staat de OCSP setting op "false"?
security.OCSP.require;false
Dan zal de pagina van MS (vermoedelijk) weer laden.

Bij jou staat die setting vermoedelijk op "false", een aanpassing die je ooit zelf hebt aangegeven in een vorige versie van Firefox toen die voorkeur nog te zien was in het voorkeuren paneel?
Op zich geen slechte keuze hoor!

De uitleg van het hoe en waarom de site van MS dan niet laadt (hint zit in de waarschuwingsmelding wellicht), zeker op Windows, laat ik graag over aan de 'certificaat-master' alhier die zich allicht op enig moment zal melden als het over OCSP controle gaat.

Trekt de Macman zich weer even terug op dit MS site probleem.
;)
06-03-2015, 15:54 door Erik van Straten
Ik zie jullie twee verschillende foutmeldingen noemen:

sec_error_ocsp_old_response (momenteel o.a. bij https://support.microsoft.com/): deze wordt regelmatig veroorzaakt sinds Microsoft haar OCSP servers heeft ondergebracht bij "hostedocsp.globalsign.com" en die servers regelmatig verouderde antwoorden geven. Zojuist kreeg ik terug voor certificaat met serienummer 0x5a0000a38918171279ebeb721900010000a389:
producedAt: 2015-02-28 21:25:29 (UTC)
thisUpdate: 2015-02-28 21:25:29 (UTC)
nextUpdate: 2015-03-04 21:25:29 (UTC)

sec_error_ocsp_invalid_signing_cert: die zie ik zelf niet met Firefox ESR. Die melding suggereert dat het meegestuurde certificaat niet klopt, of dat het root certificaat daarvan niet in jouw Firefox installatie voorkomt (er is in dit geval geen sprake van intermediate certificaten). Je kunt kijken of "thawte DV SSL CA - G2" voorkomt in Firefox Options -> Advanced -> Certificates -> View Certificates -> Authorities.

Andere mogelijkheid: security.nl gebruikt OCSP-stapling (de server zelf stuurt een response mee van wat je normaal gesproken van een OCSP server krijgt), mogelijk zijn er fouten in 36.0.x geslopen waardoor OCSP stapling niet goed meer werkt.
06-03-2015, 15:57 door Anoniem
Correctie bij eerdere reactie die nog onderweg is

Citaat:
Bij jou staat die setting vermoedelijk op "false", een aanpassing die je ooit zelf hebt aangegeven in een vorige versie van Firefox toen die voorkeur nog te zien was in het voorkeuren paneel?
Op zich geen slechte keuze hoor!

Ik bedoelde geen "false" maar true!

Dus bedoeld:
Bij jou staat die setting vermoedelijk op "true", een aanpassing die je ooit zelf hebt aangegeven in een vorige versie van Firefox toen die voorkeur nog te zien was in het voorkeuren paneel?
Op zich geen slechte keuze hoor!
06-03-2015, 16:27 door Anoniem
Probeer eens: https://www.security.nl, en probeer daarna https://security.nl
Reageert Firefox beide keren met exact dezelfde fout?
06-03-2015, 18:10 door Anoniem
Erik van Straten gaf op deze site het goed bedoelde advies om in about:config "security.OCSP.require" op "true" te zetten.

De reden dat Mozilla het standaard op "false" zet, is dat veel te veel sites hun zaakjes niet op orde hebben en dat die dan deze fouten geven.

De klachten dat "het halve internet niet meer werkt" zouden dan ten onrechte bij Mozilla terecht komen.

Het is dus ook geen fout van Firefox 36.xx en andere onzin. ("Duidelijk een probleem in de versleuteling hier.")
Het is een eigen keus geweest om de standaard instelling te wijzigen..

Probeer om "security.OCSP.require" weer terug te zetten op de standaard waarde.
06-03-2015, 21:11 door Ivanhoe
Als ik trouwens Thunderbird opstart, krijg ik ook de 'Microsoft'-melding.
Error code: sec_error_ocsp_old_response


@Anoniem 15:48
Als ik dat vinkje verwijder, dan krijg ik 'op' Securtiy.nl deze foutmelding:
Ongeldig OCSP-ondertekeningscertificaat in OCSP-antwoord.

@Anoniem 15:57
Had ik al gecontroleerd. Staat op false. Veranderen naar true en weer terug naar false helpt ook niet.

@Anoniem 16:27
Maakt geen verschil.
06-03-2015, 21:47 door Anoniem
Door Anoniem: Erik van Straten gaf op deze site het goed bedoelde advies om in about:config "security.OCSP.require" op "true" te zetten.

De reden dat Mozilla het standaard op "false" zet, is dat veel te veel sites hun zaakjes niet op orde hebben en dat die dan deze fouten geven.

De klachten dat "het halve internet niet meer werkt" zouden dan ten onrechte bij Mozilla terecht komen.

Het is dus ook geen fout van Firefox 36.xx en andere onzin. ("Duidelijk een probleem in de versleuteling hier.")
Het is een eigen keus geweest om de standaard instelling te wijzigen..

Probeer om "security.OCSP.require" weer terug te zetten op de standaard waarde.

?? Oepssss ...vergissing?
(heb ik ook wel eens last van, vandaag nog ;)

Ik Macman van reactie "15:48 door Anoniem" ben zeker niet Erik van Straten.
Erik heeft wat jij beweert dus niet beweerd.
Ik heb zeker ook niet beweerd wat jij beweert dat Erik beweert.
Hooguit zei ik dat ik vind dat het geen slecht idee is om die OCSP verificatie aan te zetten, ik heb dat al jaren zo ingesteld en heb er nauwelijks tot geen problemen mee (toegegeven, ik bezoek vrijwel geen support pages van MS).

Met die laatste opmerking maakte ik weliswaar een kleine verwarrende vergissing (false/true) die ik weer rechtzette met de reactie van "15:57 door Anoniem", dus ik Mac man (geen Erik, die post niet anoniem heb ik het idee)..

Over Firefox
Firefox zet bij mijn weten de standaardwaarde op het niet extra controleren van OCSP, wat in de about:config dan de volgende waarde oplevert
security.OCSP.require;false
Ik constateerde dat met een Firefox ESR 31.5.0 variant dan de MS website zonder problemen laadt.

Wanneer je die waarde verandert naar de waarde
security.OCSP.require;true
Laadde in mijn test met een 31.5.0 ESR browser de website van MS niet, met eerder gegeven OCSP waarschuwing.
Ik ging ervan uit dat het best wel eens zo zou kunnen zijn dat TS die waarde ook heeft, maar dat is nog niet zeker (jouw conclusie met 'eigen keus' is daarmee net iets te voorbarig).

Wat ik (niet Erik) dus eerder impliciet aangaf met de gegeven voorbeelden is te proberen naar de
"security.OCSP.require" waarde te kijken en deze desgewenst te veranderen.
Ik heb er op zich geen probleem mee als je dat idee nog een keer herhaalt door het anders te formuleren (als het maar aankomt zullen we maar zeggen).

Verder ben ik het wel ongeveer met je eens dat het zou kunnen dat het aan iets buiten Firefox zelf zou kunnen liggen, de MS website bijvoorbeeld, maar dat is nog alleszins zeker.
Er lopen namelijk verschillende dingen doorelkaar, gebruik van Firefox 36 / ESR 31.5 en gebruikers die niet de OCSP controle standaard aan hebben staan en gebruikers die dat wel standaard aan hebben staan (4 variabelen).
Plus nog de twee variabelen aan soorten websites, de MS website en de security.nl website (ik vergat nog te vermelden dat ik met OSCP controle aan en een ESR browser geen OSCP error meldingen krijg, alleen bij de MS website)..

Kortom, de waarde "security.OCSP.require" weer op de standaard waarde 'false' zetten zou kunnen betekenen dat de MS site weer werkt (nou ja werkt omdat je geen extra controle op een certificaat uitvoert), maar hoe zit het dan met de door TS geconstateerde problemen bij het bezoek aan security.nl?
Is dat dan nog toe te schrijven aan een opgetreden verschil tussen Firefox 36 en de 31.5 ESR versie?

Wordt vervolgd lijkt me zo

Macman / Anoniem
;)


P.s. T.s, heb je toevallig veel modificaties in je prefs.js file aangebracht (of zeg maar veel veranderingen aangebracht onder je about:config voorkeuren ?)
Dan is het raadzaam een kopie, backup van je prefs.js file te maken, een backup van al je bookmarks te maken, opschrijven en of backuppen van al je gebruikte soorten addons en vervolgens dan Firefox in zijn geheel te resetten (via safe boot) naar de standaard waarden.
Heel soms komt het voor met een Firefox upgrade dat er iets in een specifieke eigen vele aanpassingen in de about:config er dan ineens iets conflicteert met de nieuwe Firefox versie. Dan kan het een hele (vervelende) uitzoekerij zijn welke waarde dan conflicteert!

Voordat je daar aan begint,.. kijk eens of het na een algehele reset van de Firefox instellingen en waarden je Firefox wel weer werkt op de security.nl site (MS pagina's even daargelaten).
06-03-2015, 22:00 door Anoniem
Door Ivanhoe: Als ik trouwens Thunderbird opstart, krijg ik ook de 'Microsoft'-melding.
Error code: sec_error_ocsp_old_response


@Anoniem 15:48
Als ik dat vinkje verwijder, dan krijg ik 'op' Securtiy.nl deze foutmelding:
Ongeldig OCSP-ondertekeningscertificaat in OCSP-antwoord.

@Anoniem 15:57
Had ik al gecontroleerd. Staat op false. Veranderen naar true en weer terug naar false helpt ook niet.

@Anoniem 16:27
Maakt geen verschil.


Macman weer hier (zag je reactie later pas)

Dat het ook in je Thunderbird gebeurt verbaast me nog meer omdat het eigen voorkeuren heeft, daarnaast snap ik niet (ligt vast aan mij) wat thunderbird met een MS website te maken heeft (MS html nieuwsbrief met embedded content?).

Kan er iets op je systeem zijn dat het certificaat beheer voor verschillende programma's overruled?
Toch geen Lenovo met Superfish certificaat hoop ik?
Een AV oplossing met een Webshield/Mailshield protectie actief, met behulp van een algeheel eigen certificaat dat als "Man in the Middle" ertussen dat misschien OCSP-roet in het eten gooit?
Avast? Kaspersky? Eset? ...?

Tja, ik kan je niet verder helpen denk ik want ik kijk uiteindelijk tegen een ander OS aan.

succes

MM
06-03-2015, 22:54 door Anoniem
De "sec_error_ocsp_old_response"-melding heeft Erik van Straten al verklaard in het bericht van 15:54.
Dit is hoogst waarschijnlijk een tekortkoming van het bijwerken van de OCSP-response door de partij die daar verantwoordelijk voor is. Dit kun je niet anders voorkomen dan OCSP in de browser voorlopig even uit te schakelen totdat de OCSP-response die bij de betreffende website hoort weer up-to-date is. De oorzaak hiervan ligt buiten Firefox.
Als workaround kun je OCSP een tijdje uitzetten, totdat het euvel is opgelost. (je mist dan ondertussen wel het extra stukje veiligheid van de certificaatcontrole of een certificaat is ingetrokken, maar dat gebeurt zelden, dus valt wel mee)

Omdat er ook OCSP-stapling wordt gebruikt, helpt alleen het zetten van "security.OCSP.require" op "false" onvoldoende.
Je zult waarschijnlijk ook nog daarbij de optie "security.ssl.enable_ocsp_stapling" op "false" moeten zetten.
Kom je er dan nog niet door, dan ook nog "security.use_mozillapkix_verification" op "false" zetten.
Laat a.u.b. resultaat even weten. Graag per geval met exacte foutmelding uiteraard als er nog een fout mocht optreden.

"sec_error_ocsp_invalid_signing_cert" heeft mogelijk een andere oorzaak.
Er gaat kennelijk iets mis omdat Firefox vindt dat er ergens in de certificaatketen iets niet 100% lekker zit,
maar het kan ook zijn dat zaken dusdanig met elkaar verweven zijn, dat het eveneens van die OCSP komt.
Dus probeer dat eerst even op alle fronten uit te zetten zoals hierboven beschreven.
07-03-2015, 00:35 door Ivanhoe
Door Anoniem:Dat het ook in je Thunderbird gebeurt verbaast me nog meer omdat het eigen voorkeuren heeft, daarnaast snap ik niet (ligt vast aan mij) wat thunderbird met een MS website te maken heeft (MS html nieuwsbrief met embedded content?).

Ik heb op geen enkel moment Microsoft bezocht, enkel dezelfde foutmelding gekregen (als Lex van Lierop).

Dat Thunderbird ook 'aanslaat' is omdat het bij het opstarten op de website van Mozilla kijkt of er bijvoorbeeld updates zijn.
07-03-2015, 13:21 door Ivanhoe - Bijgewerkt: 07-03-2015, 13:22
Aan allen.

Bedankt allemaal voor de reacties en suggesties.
Ik denk echter, sinds ervaringen vanmorgen, dat dit topic voorlopig kan gaan slapen.
Waarom?

Mijn provider is UPC.
Al sinds dat ik HD-TV heb van UPC, heb ik daar wat problematiek mee.
Er is van alles geprobeerd (o.a. nieuwe splitters, die 2 weken 'heel' blijven), maar wat ik een tijd geleden al deduceerde en kort geleden door een vriend bevestigd werd, is dat de mantel van de kabel door de kruipruimte aangetast moet zijn.
Daarover ga ik nog met UPC in conclaaf en dat komt wel goed.

Vanmorgen vroeg echter kon ik niet meer inloggen op mijn account op Marktplaats (om een advertentie te verlengen).
Een paar keer een nieuw wachtwoord aangemaakt.
Inloggen geprobeerd met IE (AdFender uitgeschakeld) en zelfs apart ervoor Chrome geïnstalleerd: to no avail.
Toen ook bedacht ik me dat dit en de 'certificaat-fouten' ook wel eens aan mijn verbinding met UPC konden liggen.
Dat vroeg om een test.
Twee uur geleden bij een vriend, KPN provider, kon ik met IE (zonder AdFender) wel inloggen op Marktplaats.
Nu zit ik bij een andere vriend met vers geïnstalleerd Firefox (zonder noScript, AdBlock Plus en AdFender).
Hier is UPC ook de provider en ook hier kan ik inloggen op mijn account bij Marktplaats.

En ook hier kan ik zonder certificaatfout-meldingen naar de websites die hierboven en/of eerder problemen gaven.
https://www.security.nl/
https://support.microsoft.com/kb/274846
https://www.mozilla.org/en-US/firefox/all/

Al met al wijt ik de certificaat-gebeurtenissen voorlopig aan waarschijnlijk een gebrekkige verbinding met UPC.
Nogmaals bedankt allemaal voor de suggesties, maar ik denk dus dat ik bij UPC moet wezen.
07-03-2015, 14:02 door Anoniem
Al met al wijt ik de certificaat-gebeurtenissen voorlopig aan waarschijnlijk een gebrekkige verbinding met UPC.
Nogmaals bedankt allemaal voor de suggesties, maar ik denk dus dat ik bij UPC moet wezen.
Wie weet heeft het er ook iets mee te maken, maar wees voorzichtig met te snelle conclusies.
Bijv. maakte Leo van Lierop (https://www.security.nl/posting/420976) ook gebruik van die kabel?... ;-)
Het zou o.a. bijv. ook kunnen dat die verlopen "old" OCSP-responses inmiddels weer up-to-date zijn, waardoor de error nu niet meer optreedt. Maar als het fenomeen in de toekomst terug mocht komen, test dan toch maar eens volgens https://www.security.nl/posting/421052. (als voor de rest de certificaten er tenminste niet verdacht uitzien, alsof er
een MITM-attack zou kunnen zijn; daar moet je natuurlijk wel wat op bedacht zijn voordat je OCSP uitzet). Ben benieuwd.

Goeroehoedjes, anoniem 22:54
07-03-2015, 16:16 door Anoniem
Wow!

Een vermoedelijke RitM attack!
Biologische aanvallen, dat zie en hoor je hier niet vaak.
Voortaan in geval van MitM maar de extra vraag stellen of het om een digitale, analoge of biologische attack gaat.

BioMM
;)
07-03-2015, 17:26 door Ivanhoe
@Anoniem 14:02
1. Wat betreft 'Leo van Lierop' heb je een aandachtspunt, maar dit certificaten-'verhaal' staat dus tijdelijk in de wacht.
2. Hier, achter mijn eigen router, kan ik dus nog steeds niet met Firefox naar Security.nl, wel met IE (nu dus).
3. OCSP heb ik enkel een paar tellen uitgezet, om te testen of dat hielp, maar gelijk daarna stond alles weer 'origineel'.

Er zou dus best sprake kunnen zijn van een MITM-attack, maar OCSP staat niet uit, dus het browsen =zou op zich veilig moeten zijn.

https://www.security.nl/posting/421052
Dit test ik nog wel op de al dan niet bereikbaarheid van Security.nl.
07-03-2015, 17:34 door Niekie30 - Bijgewerkt: 07-03-2015, 17:41
Misschien een hele rare simpele vraag: Maar staat je systeemklok vwb datum en tijd wel juist?
En anders misschien dit: https://www.youtube.com/watch?v=o_O9hvBeShY

Niek
07-03-2015, 17:42 door Anoniem
Door Ivanhoe:
2. Hier, achter mijn eigen router, kan ik dus nog steeds niet met Firefox naar Security.nl, wel met IE (nu dus).

Ja als je wel internetverbinding hebt en het met IE werkt (geknaag aan UPC deed er dan blijkbaar niet toe), zou het ook moeten kunnen werken met Firefox.

Probeer nou toch eens een totale reset van Firefox naar de standaard 'fabrieks' instellingen en waarden .
(safe opstart Firefox, kies dan voor reset, met aandacht voor de punten beschreven door mij " Gisteren, 21:47 door Anoniem ") .

Mac M
07-03-2015, 18:50 door Ivanhoe - Bijgewerkt: 07-03-2015, 18:56
security.use_mozillapkix_verification is niet te vinden in about:config
Ook niet een andere instelling met mozillapkix


security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: sec_error_ocsp_invalid_signing_cert
support.microsoft.com: sec_error_ocsp_invalid_signing_cert
www.mozilla.org: sec_error_ocsp_old_response

security.OCSP.require ingesteld false
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: sec_error_ocsp_invalid_signing_cert
support.microsoft.com: bereikbaar
www.mozilla.org: sec_error_ocsp_old_response

security.OCSP.require ingesteld false
security.ssl.enable_ocsp_stapling ingesteld false
www.security.nl: bereikbaar
support.microsoft.com: bereikbaar
www.mozilla.org: bereikbaar

En weer terug naar 'Af'.
security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: bereikbaar
support.microsoft.com: bereikbaar
www.mozilla.org: sec_error_ocsp_old_response


security.OCSP.require weer ingesteld false (wat het eerst was), want ik kreeg bij Gmail en Tweakers.net inlog-problemen.
07-03-2015, 20:10 door Ivanhoe
Ik heb het 'euvel' gevonden.
Te simpel voor woorden eigenlijk.

De laptop waarop ik werk, heb ik een 2 maanden geleden volledig geïnstalleerd van iemand overgenomen.
De laptop heeft een bijna brakke batterij. Ik zit dus gewoon direct aan de adapter te werken.
Donderdagavond heb ik de laptop afgesloten en ook de spanning van de adapter afgehaald.
Vrijdagochtend bleek dus ook dat de CMOS-batterij vervangen moet, want ik moest in de BIOS de datum en tijd opnieuw instellen.
Zojuist echter kom ik er achter, dat in Windows de datum niet op 07-03-2015 stond, maar op 05-05-2015.
Hoe dat is kunnen gebeuren, is mij een raadsel, maar na correctie naar 07-03-2015 heb ik op geen enkele website nog foutmeldingen van problemen met certificaten (bij onderstaande waarden in about:config).

security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
07-03-2015, 23:37 door Erik van Straten
@Ivanhoe: goed dat de oorzaak is gevonden.

Complimenten aan Niekie30 voor het noemen van de juiste oplossing!
08-03-2015, 15:52 door Anoniem
Ik heb het 'euvel' gevonden.............
Zojuist echter kom ik er achter, dat in Windows de datum niet op 07-03-2015 stond, maar op 05-05-2015.
Hoe dat is kunnen gebeuren, is mij een raadsel, maar na correctie naar 07-03-2015 heb ik op geen enkele website nog foutmeldingen van problemen met certificaten (bij onderstaande waarden in about:config).

security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
Tof! Dit lijkt er inderdaad meer op, Ivanhoe. Om OCSP te kunnen laten werken mag datum/tijd inderdaad niet teveel verschillen.

In antwoord op je reply van 18:50:
security.use_mozillapkix_verification is niet te vinden in about:config
Ook niet een andere instelling met mozillapkix
Inderdaad zie ik nu dat security.use_mozillapkix_verification sinds Firefox 33 altijd aan staat, en geen instelling in "about:config" meer is. (voor de liefhebbers: https://wiki.mozilla.org/SecurityEngineering/Certificate_Verification)
(xcuus)

security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: sec_error_ocsp_invalid_signing_cert
support.microsoft.com: sec_error_ocsp_invalid_signing_cert
www.mozilla.org: sec_error_ocsp_old_response
Beetje merkwaardig is wel het verschil in error-melding:
De melding sec_error_ocsp_invalid_signing_cert voor security.nl en support.microsoft.nl,
en de melding sec_error_ocsp_old_response voor www.mozilla.org
Terwijl juist support.microsoft.com het meest afwijkend is op ocsp-gebied. (gebruikt geen ocsp-stapling),
zodat je in eerste instantie zou verwachten dat support.microsoft.com een iets andere foutmelding kan hebben.
Maar nee hoor. De afwijkende melding zag jij dus bij www.mozilla.org???
Vraag mij nog wel af hoe dit nu precies komt.

security.OCSP.require ingesteld false
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: sec_error_ocsp_invalid_signing_cert
support.microsoft.com: bereikbaar
www.mozilla.org: sec_error_ocsp_old_response
Is verklaarbaar: support.microsoft.com maakt als enige van deze drie websites geen gebruik van ocsp-stapling,
en dus is de instelling security.OCSP.require = false al voldoende

security.OCSP.require ingesteld false
security.ssl.enable_ocsp_stapling ingesteld false
www.security.nl: bereikbaar
support.microsoft.com: bereikbaar
www.mozilla.org: bereikbaar
Is verklaarbaar: www.security.nl en www.mozilla.org maken gebruik van ocsp-stapling, en daarom verdwijnt het probleem
daar ook als je ocsp-stapling uitzet met security.ssl.enable_ocsp_stapling = false

En weer terug naar 'Af'.
security.OCSP.require ingesteld true
security.ssl.enable_ocsp_stapling ingesteld true
www.security.nl: bereikbaar
support.microsoft.com: bereikbaar
www.mozilla.org: sec_error_ocsp_old_response
Heee, nu dus wel opeens www.security.nl en support.microsoft.com bereikbaar?
En bij aanvang met precies dezelfde ocsp-instellingen waren deze niet bereikbaar?
Ook hier voor mij wat vaag hoe dit nu komt. Cache-werking? Of moet men altijd de browser restarten om de nieuwe ocsp-instellingen effectief te laten zijn? Iets anders? Wie weet?

security.OCSP.require weer ingesteld false (wat het eerst was), want ik kreeg bij Gmail en Tweakers.net inlog-problemen.
Tweakers.net en gmail gebruiken beide OCSP zonder stapling, dus inderdaad is hier security.OCSP.require op false zetten al voldoende wanneer je OCSP-problemen hebt.

Hoe dan ook, met die datum/tijd instelling waar Niekie30 ook al op wees heb je in ieder geval een hele duidelijke oorzaak gevonden waardoor OCSP kan mislukken met daarbij de nodige errormeldingen. De meeste ellende zal nu wel over zijn.
En dat is het belangrijkste!

Goeroehoedjes, anoniem 22:54
08-03-2015, 23:02 door Ivanhoe
Door Erik van Straten:Complimenten aan Niekie30 voor het noemen van de juiste oplossing!
Alle eer, maar ik moet beschaamd erkennen, dat ik er overheen gelezen had.

@Anoniem 15:52
Bedankt voor de uitvoerige beschouwing. Stof tot lering en nadenken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.