SEC_ERROR_OCSP_OLD_RESPONSE (Firefox)

Enterno.io Editorial Team

SEC_ERROR_OCSP_OLD_RESPONSE

Автор: Anatoly Oshmanovsky · Обновлено 18 апреля 2026

Коротко:

Firefox/NSS бросает, когда сервер вернул OCSP Stapling response с nextUpdate в прошлом (устаревший). Обычная причина — OCSP cache на сервере истёк, а nginx/apache продолжает stapling старый ответ. Фикс на стороне сервера: (1) убедиться, что OCSP autopopulate работает, (2) nginx ssl_stapling_verify on + resolver, (3) certbot renew --deploy-hook перезагрузить nginx.

Ниже: подробности, пример, связанные, FAQ.

Попробовать бесплатно →

Детали

OCSP response содержит thisUpdate + nextUpdate timestamps (обычно 7 дней)
nginx: ssl_stapling on + ssl_stapling_verify on + resolver 1.1.1.1 valid=300s
Проверить: echo | openssl s_client -connect host:443 -status 2>/dev/null | grep -A10 "OCSP response"
Must-Staple extension требует stapling — без него браузер отклонит соединение
Firefox каждые 24 часа перепроверяет, если response устаревает

Пример

# Проверить OCSP stapling работает
$ echo | openssl s_client -connect host:443 -status 2>/dev/null | \
    grep -E "OCSP response|thisUpdate|nextUpdate"

# nginx config
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 5s;

# Force refresh OCSP cache — restart
$ systemctl reload nginx

Связанные

СертификатСрок, издатель, домены (SAN)

ЦепочкаПроверка промежуточных и корневых CA

TLS-протоколВерсия TLS и набор шифров

УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3

поддержка

Полная

цепочка CA

<2с

результат

30/14/7

дней до истечения

Как это работает

Введите домен

Проверка цепочки TLS

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)

Подтверждение только владения доменом
Выдаётся за минуты автоматически
Бесплатно через Let's Encrypt
Подходит для большинства сайтов
Самый распространённый тип

OV / EV

Проверка организации (OV) или расширенная проверка (EV)
Выдаётся за 1-5 рабочих дней
Стоимость от $50 до $500/год
Для финансов, e-commerce, госсайтов
Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

❌

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.

❌

Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.

❌

Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.

❌

Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.

❌

Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

✓

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.

✓

Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.

✓

Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.

✓

Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.

✓

Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Ошибки

Часто задаваемые вопросы

Why OCSP stapling вообще?

Без stapling клиент сам идёт к OCSP-серверу CA → leak privacy + latency. Stapling = сервер pre-fetches и включает в handshake.

Can I disable OCSP?

Firefox — yes (security.OCSP.enabled=0 в about:config), но это плохая практика. Лучше fix server.

Only Firefox?

Chrome давно не enforces OCSP soft-fail (CRLSets). Firefox строже. Safari — OCSP через Apple Sectigo.