Skip to content
EN

MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Коротко:

MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING — cert содержит tlsfeature extension (RFC 7633) с OCSP Must-Staple flag, но server не stapl-ит OCSP response в TLS handshake. Fix: включить OCSP stapling на сервере, или выпустить cert без Must-Staple flag. nginx: ssl_stapling on + DNS resolver.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Cert issued с Must-Staple flag, но nginx/Apache stapling выключен
  • OCSP responder недоступен (CA outage)
  • nginx ssl_stapling_verify on — fail → no staple
  • Resolver не задан — resolver 8.8.8.8 1.1.1.1 нужен
  • Firewall блокирует outgoing HTTP к OCSP endpoint

Пошаговое исправление

  1. nginx: ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 valid=300s;
  2. ssl_trusted_certificate chain.pem; (для stapling verify)
  3. Reload nginx, подождите ~5 мин для prefetch
  4. Verify: openssl s_client -connect host:443 -status → "OCSP Response Data"
  5. Или перевыпустите cert без Must-Staple (большинство CA позволяют)

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING?

Ошибка MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING возникает в браузере Firefox, когда сервер не поддерживает необходимые параметры TLS, такие как TLS 1.2 или TLS 1.3, что делает соединение небезопасным. Эта ошибка может быть связана с устаревшими версиями протоколов или неправильной конфигурацией сервера.

Причины появления ошибки MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Ошибка может возникать по нескольким причинам:

  • Устаревшие протоколы: Сервер может поддерживать только TLS 1.0 или TLS 1.1, которые считаются небезопасными и не поддерживаются современными браузерами.
  • Неправильная конфигурация: Неверные настройки SSL/TLS на сервере могут привести к тому, что браузер не сможет установить безопасное соединение.
  • Отсутствие необходимых сертификатов: Сертификаты, необходимые для поддержки современных протоколов, могут отсутствовать или быть неправильно установлены.

Для решения этой проблемы администраторы должны убедиться, что сервер настроен на поддержку TLS 1.2 или выше и что все необходимые сертификаты корректно установлены.

Как исправить ошибку MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Чтобы устранить ошибку MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING, выполните следующие шаги:

  1. Проверьте настройки сервера: Убедитесь, что ваш веб-сервер поддерживает TLS 1.2 или TLS 1.3. Для этого выполните команду:
openssl s_client -connect example.com:443 -tls1_2

Замените example.com на ваш домен. Если соединение не установлено, сервер не поддерживает необходимый протокол.

  1. Обновите серверное ПО: Если ваш сервер использует устаревшее ПО, обновите его до последней версии. Например, для Apache выполните:
sudo apt-get update && sudo apt-get upgrade
  1. Настройте поддержку современных протоколов: В конфигурационном файле вашего сервера (например, httpd.conf для Apache) добавьте следующие строки:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Это позволит серверу поддерживать только безопасные версии протоколов.

  1. Проверьте сертификаты: Убедитесь, что у вас установлен актуальный сертификат SSL. Вы можете использовать Certbot для автоматического получения и установки сертификатов:
sudo certbot --apache

После выполнения этих шагов перезапустите сервер и проверьте соединение снова.

Следуя этим рекомендациям, вы сможете устранить ошибку MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING и обеспечить безопасное соединение для пользователей вашего сайта.

TL;DR: Что делать при ошибке MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING?

Ошибка MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING возникает, когда браузер Firefox не может установить защищенное соединение из-за отсутствия необходимых функций TLS на сервере. Чтобы устранить эту ошибку, убедитесь, что ваш сервер поддерживает современные протоколы TLS 1.2 или 1.3, а также корректно настроены криптографические параметры. Проверьте конфигурацию сервера с помощью команды openssl s_client -connect yourdomain.com:443 для диагностики.

Проверка поддержки TLS на сервере

Для устранения ошибки MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING необходимо подтвердить, что ваш сервер поддерживает актуальные версии протоколов TLS. В большинстве случаев это TLS 1.2 или 1.3, которые являются обязательными для обеспечения безопасности соединений. Чтобы проверить, какие версии TLS поддерживает ваш сервер, можно использовать команду openssl s_client -connect yourdomain.com:443 -tls1_2 и openssl s_client -connect yourdomain.com:443 -tls1_3.

Если команда выводит информацию о сертификате и не возвращает ошибку, значит, сервер поддерживает соответствующую версию TLS. В противном случае, вам нужно будет обновить конфигурацию вашего веб-сервера. Например, если вы используете Apache, убедитесь, что в конфигурационном файле httpd.conf или apache2.conf указаны следующие параметры:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Это позволит вашему серверу использовать только безопасные версии протоколов. Если вы используете Nginx, настройка будет выглядеть следующим образом:

ssl_protocols TLSv1.2 TLSv1.3;

После внесения изменений не забудьте перезапустить сервер, чтобы новые настройки вступили в силу. Для Apache это можно сделать с помощью команды sudo systemctl restart apache2, а для Nginxsudo systemctl restart nginx.

Также важно проверить, что ваш сертификат имеет корректные параметры. Многие браузеры требуют, чтобы сертификат имел поддержку определенных шифров. Вы можете использовать SSL Labs для оценки конфигурации вашего сервера. Перейдите на SSL Labs и введите адрес вашего сайта. Сервис предоставит подробный отчет о поддерживаемых протоколах и шифрах.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Must-Staple — это что?

Extension cert, которое говорит клиенту: "я жду stapled OCSP response в handshake". Если его нет — cert invalid, даже если OCSP responder timeout.

Мой CA ставит Must-Staple?

Let's Encrypt — нет по default. DigiCert — optional. Стало rare в 2024+ потому, что CA-level OCSP стал reliable.

Stapling всегда включать?

Да, хороший practice. Reduces RTT, improves privacy (client не запрашивает CA directly).

Как проверить?

<a href="/ssl">Enterno SSL</a> показывает OCSP stapling status в report.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.