Firefox/NSS бросает, когда сервер вернул OCSP Stapling response с nextUpdate в прошлом (устаревший). Обычная причина — OCSP cache на сервере истёк, а nginx/apache продолжает stapling старый ответ. Фикс на стороне сервера: (1) убедиться, что OCSP autopopulate работает, (2) nginx ssl_stapling_verify on + resolver, (3) certbot renew --deploy-hook перезагрузить nginx.
Ниже: подробности, пример, связанные, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
# Проверить OCSP stapling работает
$ echo | openssl s_client -connect host:443 -status 2>/dev/null | \
grep -E "OCSP response|thisUpdate|nextUpdate"
# nginx config
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 5s;
# Force refresh OCSP cache — restart
$ systemctl reload nginxОшибка SEC_ERROR_OCSP_OLD_RESPONSE в браузере Firefox возникает, когда сервер возвращает устаревший ответ OCSP (Online Certificate Status Protocol) для проверки статуса SSL-сертификата. Это может произойти из-за того, что сертификат был отозван, и сервер не обновил информацию. Чтобы исправить эту ошибку, необходимо обновить сертификат или настроить сервер для корректного ответа на запросы OCSP.
Ошибка SEC_ERROR_OCSP_OLD_RESPONSE может возникнуть по нескольким причинам:
Для решения проблемы важно понимать, как работает OCSP. Когда браузер запрашивает статус сертификата, сервер должен предоставить актуальную информацию. В случае устаревшего ответа браузер блокирует доступ к сайту, чтобы защитить пользователя от потенциальных угроз.
Для исправления ошибки SEC_ERROR_OCSP_OLD_RESPONSE выполните следующие шаги:
openssl x509 -in ваш_сертификат.crt -text -noout для проверки деталей сертификата.certutil -urlfetch -L ваш_сертификат.crt на сервере.SSLUseStapling On
SSLStaplingCache "shmcb:/tmp/stapling-cache(128000)"Эти настройки помогут вашему серверу кэшировать ответы OCSP и обновлять их по мере необходимости.
После внесения изменений проверьте статус сертификата снова, используя команду curl -v https://ваш_домен. Если всё настроено правильно, ошибка должна исчезнуть.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Без stapling клиент сам идёт к OCSP-серверу CA → leak privacy + latency. Stapling = сервер pre-fetches и включает в handshake.
Firefox — yes (security.OCSP.enabled=0 в about:config), но это плохая практика. Лучше fix server.
Chrome давно не enforces OCSP soft-fail (CRLSets). Firefox строже. Safari — OCSP через Apple Sectigo.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.