Skip to content
EN

ERR_SSL_OCSP_INVALID_RESPONSE

Коротко:

ERR_SSL_OCSP_INVALID_RESPONSE — Chrome получил OCSP response, но он corrupted, expired (> 7 days), или signed неверным responder cert. Fix: отключить ssl_stapling_verify (если responder problematic), или обновить OCSP cache. CA outage — подождать.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • OCSP response expired — nextUpdate прошёл
  • CA OCSP responder возвращает stale data
  • Cache invalidation delay на CDN
  • Wrong OCSP signer cert
  • Clock skew на сервере (> 1 час)

Пошаговое исправление

  1. Проверьте system clock: timedatectl status
  2. Force OCSP refresh: reload nginx, wait 5 min
  3. Disable verify временно: ssl_stapling_verify off;
  4. Обновите chain: ssl_trusted_certificate с свежим CA chain
  5. Если CA outage — через час станет valid

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое ERR_SSL_OCSP_INVALID_RESPONSE?

Ошибка ERR_SSL_OCSP_INVALID_RESPONSE в браузере Google Chrome возникает, когда клиент не получает корректный ответ от сервера OCSP (Online Certificate Status Protocol), который отвечает за проверку статуса сертификатов SSL. Эта ошибка может быть связана с неправильно настроенным сервером или проблемами на стороне CA (Certificate Authority). Чтобы устранить данную ошибку, убедитесь, что ваш сервер правильно настроен и отвечает на запросы OCSP.

Причины возникновения ошибки ERR_SSL_OCSP_INVALID_RESPONSE

Существует несколько причин, по которым может возникнуть ошибка ERR_SSL_OCSP_INVALID_RESPONSE:

  • Неправильная конфигурация сервера: Сервер может быть неправильно настроен для обработки запросов OCSP. Проверьте конфигурацию вашего веб-сервера, чтобы убедиться, что он корректно обрабатывает OCSP-запросы.
  • Проблемы с CA: Если CA, выдавший сертификат, не отвечает на запросы OCSP, это может привести к ошибке. Проверьте статус CA и его доступность.
  • Проблемы с сетью: Иногда сетевые проблемы могут блокировать запросы OCSP, что также может вызвать ошибку. Убедитесь, что ваш сервер имеет доступ к интернету.

Для диагностики проблемы можно использовать команду openssl ocsp для проверки статуса сертификата. Например:

openssl ocsp -issuer  -cert  -url 

Эта команда отправляет запрос OCSP и отображает ответ сервера. Если вы получаете ошибку, это может указывать на проблемы с конфигурацией.

Как устранить ошибку ERR_SSL_OCSP_INVALID_RESPONSE

Для устранения ошибки ERR_SSL_OCSP_INVALID_RESPONSE выполните следующие шаги:

  1. Проверьте конфигурацию сервера: Убедитесь, что ваш сервер настроен для обработки OCSP-запросов. Например, для Apache вы можете использовать директиву SSLUseStapling on в конфигурации вашего виртуального хоста.
  2. Проверьте доступность OCSP-сервера: Убедитесь, что OCSP-сервер доступен и отвечает на запросы. Это можно сделать с помощью команды curl -v .
  3. Обновите сертификат: Если ваш сертификат был выдан CA, который не отвечает на запросы OCSP, рассмотрите возможность его замены на сертификат другого удостоверяющего центра.
  4. Проверьте настройки брандмауэра: Убедитесь, что брандмауэр не блокирует запросы к OCSP-серверу.

Следуя этим рекомендациям, вы сможете устранить ошибку ERR_SSL_OCSP_INVALID_RESPONSE и обеспечить корректную работу вашего сайта с SSL-сертификатами.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

OCSP vs CRL?

OCSP — real-time status check, CRL — list revoked. OCSP быстрее (один cert), CRL — все revoked сразу. Modern — OCSP stapling.

Short-lived certs killing OCSP?

Let's Encrypt 90d, потом 6d (2026+). Cert короче чем CRL refresh — OCSP не нужен. Industry тренд.

Chrome отключает OCSP?

По умолчанию — да, с 2012 (too slow, privacy). Stapling работает, raw OCSP calls — нет.

Почему ошибка появилась?

Обычно single-client issue: stale local cache. Clear Chrome SSL state: chrome://net-internals/#hsts → Delete domain.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.