MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING
MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING — cert содержит tlsfeature extension (RFC 7633) с OCSP Must-Staple flag, но server не stapl-ит OCSP response в TLS handshake. Fix: включить OCSP stapling на сервере, или выпустить cert без Must-Staple flag. nginx: ssl_stapling on + DNS resolver.
Ниже: причины, исправление, FAQ.
Причины ошибки
- Cert issued с Must-Staple flag, но nginx/Apache stapling выключен
- OCSP responder недоступен (CA outage)
- nginx ssl_stapling_verify on — fail → no staple
- Resolver не задан —
resolver 8.8.8.8 1.1.1.1нужен - Firewall блокирует outgoing HTTP к OCSP endpoint
Пошаговое исправление
- nginx:
ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 valid=300s; ssl_trusted_certificate chain.pem;(для stapling verify)- Reload nginx, подождите ~5 мин для prefetch
- Verify:
openssl s_client -connect host:443 -status→ "OCSP Response Data" - Или перевыпустите cert без Must-Staple (большинство CA позволяют)
Смежные SSL-ошибки
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Must-Staple — это что?
Extension cert, которое говорит клиенту: "я жду stapled OCSP response в handshake". Если его нет — cert invalid, даже если OCSP responder timeout.
Мой CA ставит Must-Staple?
Let's Encrypt — нет по default. DigiCert — optional. Стало rare в 2024+ потому, что CA-level OCSP стал reliable.
Stapling всегда включать?
Да, хороший practice. Reduces RTT, improves privacy (client не запрашивает CA directly).
Как проверить?
<a href="/ssl">Enterno SSL</a> показывает OCSP stapling status в report.