OCSP error

Oleg Redut написал(а) к All в Dec 15 08:19:36 по местному времени:

Доброе (current) время суток, All!

Opera 12 взбрыкнула. Не открывает яндекс. Что-то там с сертификатами.

Решение ещё от 2013 года:
1. Открываем конфиг Оперы (opera:config)
2. Заходим в раздел Security Prefs, и убираем галочку с OCSP Validate Certificates
3. Сохраняем настройки и перезагружаем браузер

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

Eugene Muzychenko написал(а) к Oleg Redut в Dec 15 09:09:26 по местному времени:

Привет!

25 Dec 15 08:19, you wrote to All:

OR> Opera 12 взбрыкнула. Не открывает яндекс. Что-то там с сертификатами.

Моя 12.17 открывает. Может, у тебя действительно что-то там с сертификатами?

OR> убираем галочку с OCSP Validate Certificates

У меня стоит.

А по описанной тобой методе народ благополучно цепляет вирусов/троянов. Один не разобрался, с ходу придумал "решение" - еще сотня его тупо применила. Раздолье. :)

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20130111

Sergey Chumakov написал(а) к Oleg Redut в Dec 15 06:47:56 по местному времени:

Приветствую Вас,уважаемый Oleg!

Ответ на сообщение Oleg Redut (2:5000/111) к All, написанное 25 дек 15 в 08:19:


OR> Opera 12 взбрыкнула. Не открывает яндекс. Что-то там с
OR> сертификатами.

У меня 11.50 так брыкается.


Живите долго и процветайте - Sergey
icq 89357209
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Oleg Redut написал(а) к Eugene Muzychenko в Dec 15 11:31:36 по местному времени:

Доброе (current) время суток, Eugene!

EM> Моя 12.17 открывает. Может, у тебя действительно что-то там с
EM> сертификатами?

Ну, наверняка с сертификатами. Только вопрос, что именно. У меня не открывает на работе 12.14х64, дома 12.17х64. На работе у бухов 12.17х32, работают через прокси дочерней фирмы.
Три разные ip. Правда, у одного провайдера. У кого проблема с сертификатом?

EM> А по описанной тобой методе народ благополучно цепляет
EM> вирусов/троянов. Один не разобрался, с ходу придумал "решение" - еще
EM> сотня его тупо применила. Раздолье. :)

Я не являюсь тонким знатоком этих технололгий, но точно не понимаю, как сертификат может помочь не поймать трояна. Можно на примере Яндекса.
Яндекс не открывался. Убрал птичку, открывается. Как ко мне с него попадёт троян?

При этом ya.ru открывается, но перепинывает на полный сайт:

=== Вырезка из филе Windows Clipboard ===
Не удаётся завершить защищённую транзакцию

Вы попытались получить доступ к адресу https://yandex.ru/search/?oprnd=6984...0%D1%8B%D0%B2% D0%B0&suggest_reqid=793314443145015403010100682246145, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введён правильно, и попытайтесь перезагрузить страницу.

Безопасное подключение: критическая ошибка (1066)

https://yandex.ru/search/?oprnd=6984...0%D1%8B%D0%B2% D0%B0&suggest_reqid=793314443145015403010100682246145

Не удалось проверить подлинность веб-сайта (ошибка OCSP).

Ответ сервера проверки сертификатов (OCSP) старше периода достоверности.
=== Кончилась врезка ===

Гугль и остальные сайты тоже работают.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

Eugene Muzychenko написал(а) к Oleg Redut в Dec 15 13:56:59 по местному времени:

Привет!

25 Dec 15 11:31, you wrote to me:

OR> Ну, наверняка с сертификатами. Только вопрос, что именно.

Скорее всего, в тех системах, где "что-то", отсутствуют какие-то из сертификатов, входящих в полный путь сертификата Яндекса. Посмотри в каталогах сертификатов, собственно.

OR> На работе у бухов 12.17х32, работают через прокси дочерней фирмы. Три
OR> разные ip. Правда, у одного провайдера.

IP и провайдер к проверке сертификата не имеют никакого отношения. Если, конечно, какие-то узлы между тобой и сервером не портят/подменяют сертификатов, и провайдер не блокирует доступа к серверам, отвечающим их проверку.

OR> точно не понимаю, как сертификат может помочь не поймать трояна.

Точно так же, как подпись исполняемого файла может помочь не запустить нелегально исправленный файл.

OR> Яндекс не открывался. Убрал птичку, открывается.

Нелегально исправленный (например, зараженный) файл не запускался, ты отключил проверку подписей, файл запустился.

OR> Как ко мне с него попадёт троян?

Если ты доверяешь Яндексу (например, хранишь что-нибудь исполняемое в личном пространстве Яндекс.Диска), то путем подмены сервера тебе можно подсунуть трояна. Даже если ты не скачиваешь оттуда ничего исполняемого, но при этом доверяешь - у тебя можно попросить какой-нибудь пароль или код, имеющий отношение к твоему аккаунту.

Тут дело даже не в том, что можешь поймать лично ты, а в том, что ты, не разобравшись в сути проблемы, быстренько предложил сообществу заведомо неадекватное решение. Пусть даже у тебя проблемы с сертификатом вызваны неопасными явлениями, но у других-то эти явления могут быть как раз те самые, против которых сертификаты и вводились. А они, прочитав твой "метод решения проблемы", радостно его применят, и тоже будут рассказывать окружающим, как они "полечили глючный браузер или глючный сервер".

OR> Ответ сервера проверки сертификатов (OCSP) старше периода
OR> достоверности.

OCSP - это онлайновый протокол, по которому можно запросить, не отозван ли сертификат. В оффлайне это проверяется по периодически обновляемому списку (CRL), который обновляется в ходе установки обновлений. Если у кого обновления не ставятся, у тех и список остается старым. Сертификат отозвали - они об этом не знают. OCSP помогает этот недостаток обойти.

Возможно, ваши провайдеры блокируют какие-то из серверов OCSP, в результате чего запрос попадает на какой-нибудь плохо поддерживаемый сервер, который давно не обновляли.

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20130111