Scheinbar birgt bei StartSSL-Zertifikaten der StartSSL-OCSP-Server ein gewisses Risiko. Nicht nur das es beim Erneuern ca. 6 bis 12 Stunden dauern kann, bis das Zertifikat beim OCSP-Server bekannt ist. Manchmal bekommt man diesen Fehler auch bei deutlich älteren Zertifikaten. Heute bekam ich jedenfalls mitten beim Schreiben diesen Fehler präsentiert.:

2015-04-05-Firefox mit sec_error_ocsp_unknown_cert-Fehler

Fehler: Gesicherte Verbindung fehlgeschlagen

 
Ein Fehler ist während einer Verbindung mit www.perl-online.com aufgetreten. Der OCSP-Server hat keinen Status für das Zertifikat. (Fehlercode: sec_error_ocsp_unknown_cert)
 
 
  Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
  Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
 
 

Firefox OCSP-EinstellungenEs gab keine Möglichkeit, die (meine eigene) Webseite dennoch aufzurufen. Kein Ausnahme-hinzufügen-Button oder ähnliches. Mein Zertifikat ist noch ein paar Wochen gültig und in den letzten Minuten hatte sich daran auch nichts geändert. Es konnte also nicht an meinem Server, sondern eigentlich nur an der ‚anderen Seite‘ liegen. Interessanterweise hatte auch der Chrome-Browser kein Problem mit den https-Zertifikaten.
Tatsächlich war, als ich dann im FireFox den Haken unter ‚Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen‘ (Einstellungen | Erweitert | Zertifikate) entfernt hatte, meine Seite auch per https wieder erreichbar.
Die Einstellung kann man auch unter about:config ändern:

security.OCSP.enabled;0

bei VördeAllerdings ist diese Einstellung dann global für alle Zertifikate gültig, so dass von meinem Firefox nun keine Webseite mehr gegen den jeweiligen OCSP-Server überprüft wird. :roll: Deshalb hatte ich mit diesem Schalter etwas hin und her gespielt. Mal funktionierte es dann mit OCSP-Server-Abfrage, eine Weile später ging es wieder nicht mehr. Eine wirkliche Lösung ist dass alles nicht, sie mach aber klar, dass das Prozedere mit den OCSP-Servern auch nicht der Weisheit letzter Schluss ist.

Nur nebenbei sei noch erwähnt, dass mein ersten Verdacht ja noch in eine ganz andere Richtung ging. Ich vermutete nämlich, dass mal kurzzeitig etwas mit dem IPv6 nicht funktionieren könnte. So stellte ich in meinem Firefox in der Config (about:config) den entsprechenden Parameter auf:

network.dns.disableIPv6;true

Allerdings brachte das gleich mal gar keine Besserung und so stellte ich den Parameter wieder zurück auf ‚false