[vc_row][vc_column][vc_column_text]Das Problem von Firefox liegt darin, dass Firefox versucht die CRL vom Server zuladen, da es aber zu einem TimeOut kommt (mehr aber auch nicht) führt dazu das die Zertifikate nicht überprüft werden können, ob Sie eventuell zurückgezogen wurden.

Daher löst Firefox dieses Problem aus. Ein Kunde hatte mich heute darauf aufmerksam gemacht und ich bin der Sache nachgegangen. Als Workaround konnte ich vorschlagen, das Problem zunächst auf Firefox Ebene zu lösen:

about:config in der Adressleiste vom Firefox Browser eingeben, dann die Zeile mit:

security.ssl.enable_ocsp_stapling;true

suchen und mit einem Doppelklick auf die Zeile von TRUE auf FALSE zu ändern. Nun sollte sich die Seite die man zuvor nicht öffnen konnte öffnen.

Was macht denn eigentlich das “ocsp_stapling”, ganz einfach:

1. Der Browser öffnet die Seite
2. zieht sich das SSL Zertifikat
3. prüft der Browser nun in der CRL-Liste des Zertifikat-Herausgeber, ob es noch gültig ist
4. Wenn JA, dann öffnet der Browser die Seite
5. Wenn NEIN, dann kommt eben genau diese Fehlermeldung im Firefox Browser
Ursache, wenn Nein: a) Zertifikat ungültig oder b) Timeout beim Abruf der Liste

Problem / Lösung zur TimeOut Vermeidung: Da die Zertifikat-Herausgeber überfordert wären (sind), hat der Webserver-Betreiber nun die Möglichkeit einen Cache für diese Anfragen von Browsern einzurichten.

Hier wird dann im Apache ab Version 2.4 folgende Zeile gesetzt:

SSLUseStapling on

Terminal-Linux-Befehle:
apachectl -t
service apache2 reload
tail /var/log/apache2/error.log

Und bei NginX:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;

Terminal-Linux-Befehle:
service nginx configtest
service nginx reload
tail /var/log/nginx/error.log[/vc_column_text][/vc_column][/vc_row]