MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING — cert содержит tlsfeature extension (RFC 7633) с OCSP Must-Staple flag, но server не stapl-ит OCSP response в TLS handshake. Fix: включить OCSP stapling на сервере, или выпустить cert без Must-Staple flag. nginx: ssl_stapling on + DNS resolver.
Ниже: причины, исправление, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
resolver 8.8.8.8 1.1.1.1 нуженssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 valid=300s;ssl_trusted_certificate chain.pem; (для stapling verify)openssl s_client -connect host:443 -status → "OCSP Response Data"Ошибка MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING возникает в браузере Firefox, когда сервер не поддерживает необходимые параметры TLS, такие как TLS 1.2 или TLS 1.3, что делает соединение небезопасным. Эта ошибка может быть связана с устаревшими версиями протоколов или неправильной конфигурацией сервера.
Ошибка может возникать по нескольким причинам:
TLS 1.0 или TLS 1.1, которые считаются небезопасными и не поддерживаются современными браузерами.Для решения этой проблемы администраторы должны убедиться, что сервер настроен на поддержку TLS 1.2 или выше и что все необходимые сертификаты корректно установлены.
Чтобы устранить ошибку MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING, выполните следующие шаги:
TLS 1.2 или TLS 1.3. Для этого выполните команду:openssl s_client -connect example.com:443 -tls1_2Замените example.com на ваш домен. Если соединение не установлено, сервер не поддерживает необходимый протокол.
sudo apt-get update && sudo apt-get upgradehttpd.conf для Apache) добавьте следующие строки:SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1Это позволит серверу поддерживать только безопасные версии протоколов.
Certbot для автоматического получения и установки сертификатов:sudo certbot --apacheПосле выполнения этих шагов перезапустите сервер и проверьте соединение снова.
Следуя этим рекомендациям, вы сможете устранить ошибку MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING и обеспечить безопасное соединение для пользователей вашего сайта.
Ошибка MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING возникает, когда браузер Firefox не может установить защищенное соединение из-за отсутствия необходимых функций TLS на сервере. Чтобы устранить эту ошибку, убедитесь, что ваш сервер поддерживает современные протоколы TLS 1.2 или 1.3, а также корректно настроены криптографические параметры. Проверьте конфигурацию сервера с помощью команды openssl s_client -connect yourdomain.com:443 для диагностики.
Для устранения ошибки MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING необходимо подтвердить, что ваш сервер поддерживает актуальные версии протоколов TLS. В большинстве случаев это TLS 1.2 или 1.3, которые являются обязательными для обеспечения безопасности соединений. Чтобы проверить, какие версии TLS поддерживает ваш сервер, можно использовать команду openssl s_client -connect yourdomain.com:443 -tls1_2 и openssl s_client -connect yourdomain.com:443 -tls1_3.
Если команда выводит информацию о сертификате и не возвращает ошибку, значит, сервер поддерживает соответствующую версию TLS. В противном случае, вам нужно будет обновить конфигурацию вашего веб-сервера. Например, если вы используете Apache, убедитесь, что в конфигурационном файле httpd.conf или apache2.conf указаны следующие параметры:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1Это позволит вашему серверу использовать только безопасные версии протоколов. Если вы используете Nginx, настройка будет выглядеть следующим образом:
ssl_protocols TLSv1.2 TLSv1.3;После внесения изменений не забудьте перезапустить сервер, чтобы новые настройки вступили в силу. Для Apache это можно сделать с помощью команды sudo systemctl restart apache2, а для Nginx — sudo systemctl restart nginx.
Также важно проверить, что ваш сертификат имеет корректные параметры. Многие браузеры требуют, чтобы сертификат имел поддержку определенных шифров. Вы можете использовать SSL Labs для оценки конфигурации вашего сервера. Перейдите на SSL Labs и введите адрес вашего сайта. Сервис предоставит подробный отчет о поддерживаемых протоколах и шифрах.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Extension cert, которое говорит клиенту: "я жду stapled OCSP response в handshake". Если его нет — cert invalid, даже если OCSP responder timeout.
Let's Encrypt — нет по default. DigiCert — optional. Стало rare в 2024+ потому, что CA-level OCSP стал reliable.
Да, хороший practice. Reduces RTT, improves privacy (client не запрашивает CA directly).
<a href="/ssl">Enterno SSL</a> показывает OCSP stapling status в report.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.