Willkommen im User-Forum von mailbox.org
 

OCSP: server nicht erreichbar ?

Ronny2405 hat dies geteilt, 2 Jahren her
veröffentlicht

wir bekommen folgende fehlermeldung aktuell


Ein Fehler ist während einer Verbindung mit office.mailbox.org aufgetreten. Der OCSP-Server schlägt vor, es später erneut zu versuchen. Fehlercode: SEC_ERROR_OCSP_TRY_SERVER_LATER

Kommentare (22)

Foto
1

Ich kann keine OCSP-Probleme bei unseren Servern erkennen, alles funktioniert bei mailbox.org.


Dieser Fehler wird bei einigen Browsern häufig auch bei DNS-Problemen auf Client-Seite (also bei Ihnen) angezeigt.Anderenfalls ist möglicherweise auch ein kurzer Aussetzer bei der Certification Authority dafür verantwortlich, der inzwischen vorbei ist.

Foto
1

https://mailbox.org nicht erreichbar!

Fehlermeldung: SEC_ERROR_OCSP_TRY_SERVER_LATER

Foto
1

Bekomme mit FF53 auch den Fehler.


Im Übrigen könnte mailbox.org einen cache für solche Anfragen in Apache/Nginx einrichten. Dann würde das Problem nicht mehr auftreten.

Foto
1

Mailbox per Firefox nicht erreichbar:

An error occurred during a connection to www.mailbox.org. The OCSP server suggests trying again later. Error code: SEC_ERROR_OCSP_TRY_SERVER_LATER

Foto
1

Auch bei mir gibt's im Moment mit Firefox 53 dieses Problem, Safari und Chrome sind nicht betroffen.

Foto
1

Aktuell ist der OCSP-Dienst von Swisssign gestört.


Bei OCSP fragt der Browser des Nutzers direkt den Aussteller des SSL-Zertifikats an. OCSP hat also nichts mit unseren Webservern zu tun und kann von uns gar nicht beeinflusst werden. Das hat auch nichts mit einem Cache bei uns zu tun. Die OCSP-Anfragen laufen nie über unsere Server.


Swisssign selbst hat für heute Abend Wartungsarbeiten auf ihren eigenen Webseiten angekündigt. Meine Vermutung ist, daß dabei ungewollt auch deren OCSP-Dienst beeinträchtigt wurde. Das bedeutet, daß alles Swisssign-basierten Webseiten weltweit jetzt gerade entsprechende Probleme haben.


Dank guter Verbindungen konnten wir soeben das SwissSign-Management auf dem Handy erreichen :-) und haben das Problem trotz später Uhrzeit direkt zu SwissSign eskalieren können.


Ab jetzt müssen wir leider warten, bis der OCSP-Dienst bei SwissSign wieder funktioniert.


An sich ist OCSP eine sehr wünschenswerte Sache, aber vorübergehend kann OCSP im Firefox deaktiviert werden, dann ist auch der Zugriff auf mailbox.org wieder möglich (denn wir haben ja gar keine Störung, die Browser weigern sich nur, die Webseite zu laden).


Dabei kann man im Firefox in dei Adresszeile "about:config" eingeben und dann nach OCSP-Parametern suchen und ein paar OCSP-Einstellungen deaktivieren.


d3a2656207c0eb0770735a0df9e59dc2

Foto
1

"Bei OCSP fragt der Browser des Nutzers direkt den Aussteller des SSL-Zertifikats an. OCSP hat also nichts mit unseren Webservern zu tun und kann von uns gar nicht beeinflusst werden. Das hat auch nichts mit einem Cache bei uns zu tun. Die OCSP-Anfragen laufen nie über unsere Server."

Also bei Apache und ngxin geht das sehr wohl:

http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#ocspstapling

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling

Foto
1

Danke für den Hinweis, schauen wir uns mal an. Ich muß mit meinen Security-Leuten besprechen ob es einen Grund gibt, warum das ggf. für uns nicht in Frage kommt und ob es Absicht ist, wenn wir das bislang nicht nutzen.

Foto
1

Danke!

Foto
1

Die Server von Malbox.org sind auf dem aktuellen Stand (hinsichtlich Krypto der beste Mailprovider, den ich kennen) und unterstützen auch OCSP.Stapling mit Caching der CA-Token, kann man mit dem Test von SSL-Labs leicht überprüfen (Ohne OCSP-Stapling gibt es bei SSLlabs kein A+ mehr)

https://www.ssllabs.com/ssltest/analyze.html?d=mailbox.org

Wenn der OCSP-Server der CA aber länger ausfällt, als die Livetime der Signatur der CA-Token und das gechachte Token damit ungültig wird, dann kann Mailbox.org auch nichts machen.

Foto
Foto
1

UPDATE: Wir haben eben den Rückruf von SwissSign bekommen. Es handelte sich tatsächlich um einen unbeabsichtigten Kollateralschaden, der bislang unbemerkt blieb. OSCP ist bei Swissign wieder an, seit 20:10 sind alle Webseiten wieder online.

Foto
1

Und gerade IMAP gestört?

Nachtrag: Geht wieder!

Foto
1

WIr hatten keine Störungen bei uns.


Es kann aber immer irgendwo irgendwie im Internet Routingschwierigkeiten zwischen Backbonebetreibern geben. Damit haben wir nichst zu tun und können das weder steuern noch bemerken (und dann geht's eh um größere Dimensionen).

Foto
Foto
1

Leider dieselbe Fehlermeldung gerade:

Beim Verbinden mit office.mailbox.org trat ein Fehler auf. Der OCSP-Server schlägt vor, es später erneut zu versuchen. Fehlercode: SEC_ERROR_OCSP_TRY_SERVER_LATER

Foto
1

Bei mir die gleiche Fehlermeldung (Firefox 68.0.1).

Foto
1

Ich habe den gleichen Fehler mit Firefox 68.0.0.1.

Wie oben früher schon von anderen Usern geschrieben sind andere Browser wohl nicht betroffen. Mit Chromium Version 76.0.3809.71 unter Debian bullseye/sid habe ich gerade reproduzierbar KEINE Verbindungsprobleme..

Foto
1

Ich habe ebenfalls diesen Fehler mit FF 68.0.0.1, auf zwei verschiedenen Rechnern mit Kubuntu Linux 18.04.

Foto
2

Nochmal kurz der Hinweis: Es handelt sich dabei nicht um einen Service von mailbox.org, sondern um einen Service & Server von SwissSign. Von denen bezieht mailbox.org die Zertifikate. Gestört sind demnach viele/fast alle SwissSign basierten Webseiten. Es handelt sich nicht um eine individuelle Störung bei uns und die ist auch nicht von uns zu beeinflussen.

Im Ergebnis nicht viel besser, aber vielleicht trotzdem zu wissen, dass wir damit nicht primär etwas zu tun haben.

Wir haben SwissSign bezügl. der Störung bereits angeschrieben, gehen aber davon aus, dass die Kollegen das dort bereits wissen und aktiv sind.

Ich bin nicht ganz fit, bilde mir aber ein, das solche OCSP-Störungen auch vom Browser cachbar sind. Daher eventuell der Effekt, daß der eine Browser einen Fehler meldet, der andere nicht. Prinzipiell scheint nach meinen Untersuchungen aktuell alles up&running zu sein. Browser neu starten könnte helfen?

Foto
1

> Browser neu starten könnte helfen?

Manchmal sind es die einfachsten Dinge :-) Danke, läuft wieder!

Foto
1

Bei mir half auch ein Browser-Restart. Schöner Murphy, das mir das genau beim ersten Weblogin seit vielen Monaten passiert.

Danke für die ausführliche Erläuterung.

Foto
1

Hi Zusammen,


aktuell habe ich ebenfalls Probleme mit einem aktuellen Firefox unter MacOS (keine Plugins aktiviert, Cache gelöscht, Browser neugestartet,..). Die Fehlermeldung lautet:

"Beim Verbinden mit mailbox.org trat ein Fehler auf. Der OCSP-Server schlägt vor, es später erneut zu versuchen. Fehlercode: SEC_ERROR_OCSP_TRY_SERVER_LATER"


status.mailbox.org klappt ebenfalls nicht.


Unter Chrome und Safari klappt übrigens alles.

Foto
1

Es geht wieder. War wohl nur ein kleiner Ausfall bzw. eine Anpassung?

Foto