Certificat, OCSP : site inaccessible

dindoun · Juin 17, 2025, 1:53am

Salut :
j’ai ce message sur https://brunosanchiz.fr :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à brunosanchiz.fr. Certificat de signature OCSP invalide dans la réponse OCSP.

Code d’erreur : SEC_ERROR_OCSP_INVALID_SIGNING_CERT

    La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.

Je ne l’ai que depuis mes ordis et que depuis 24h.
Si je décoche Interroger le répondeur OCSP pour confirmer la validité de vos certificats dans les paramètres de firefox, je peux y accéder.

avec wget https://brunosanchiz.fr :
Erreur : le certificat de « brunosanchiz.fr » n’est pas de confiance.

Je n’ai pas d’idée pour résoudre ce problème.

Clochette · Juin 17, 2025, 5:41am

Le certificat est expiré (celui importé pas celui du serveur car normalement c’est un let’s encrypt ).

Fais un coup de ménage pour voir

Zargos · Juin 17, 2025, 9:04am

Attention, wget n’est pas forcement fiable pour la vérification d’un certificat de site web.
Sur firefox ton site est considéré comme correct.

Attention si tu as paramétré ton navigateur pour imposer une vérification OCSP systématique.
Tous les certificats (et donc fournisseurs de certificat) n’ont pas cette possibilité.
D’ailleurs, quand on regarde le certificat il n’y a pas d’indication OCSP, uniquement les CRL.

dindoun · Juin 17, 2025, 8:35pm

salut
je vois en gros ce que vous voulez dire, mais je ne comprends pas l’instabilité :
sur un ordi, un jour ça marche le lendemain non le surlendemain oui
bon, pas si grave, sauf que firefox met l’oscp de base, et que de nombreuses personens n’accède pas à mon site.

Sinon , je peux enlever l’OCSP systématique sans pb de sécurité?
Cela reviendrait-il à utiliser du https où le s n’est vérifié par personne?

Zargos · Juin 17, 2025, 8:47pm

L’OCSP permet de valider un certificat, savoir s’il n’est pas révoqué.
C’est une alternative à l’utilisation d’une CRL (Certificate Revocation List).
Ton certificat utilise une CRL comme cela est indiqué:

Points de terminaison CRL

Point de distribution: http://r11.c.lencr.org/25.crl

La vérification OCSP n’a lieu que si l’URL OCSP est indiqué dans le certificat. Ici ce n’est pas le cas.

Il n’y a pas lieu de s’inquiéter.