StartCom (StartSSL) má problémy s OCSP servery

Pokud máte dnes problémy s připojováním k některým HTTPS serverům (zejména ve Firefoxu a Thunderbirdu), vězte, že certifikační autorita StartSSL má již mnoho hodin problémy se svými OCSP servery, které buď nereagují vůbec nebo odpoví chybou.Vyjádření podpory StartSSL:

Due to a technical issue the OCSP responders failed to update - they are syncing again and this issue should resolve itself within the next few hours if it haven't already.

Zdroj: https://forum.startcom.org/viewtopic.php?p=21649#p21649Ve Firefoxu se vám zobrazí chybová hláška a přes ni se nedostanete, pokud explicitně OCSP nevypnete. V jiných prohlížečích můžete pozorovat dlouhou prodlevu při navazování spojení.Thunderbird, ve kterém si třeba pomocí CalDAV přes HTTPS synchronizujete kalendáře, neřekne vůbec nic a prostě nesynchronizuje (jen zobrazí oranžový vykřičník u kalendáře).Horší je, že pokud na serveru používáte OCSP Stapling, může si za určitých okolností webserver i na několik dní nacachovat negativní odpověď. Pomůže reload/restart daemonu webserveru.

Doporučuji používat pořádnou CA s pořádným zázemím - například RapidSSL od GeoTrustu za těch 490,- Kč ročně stojí. Viz sslmarket.cz.Co je zadarmo, tak nemůže být nikdy na špičkové úrovni, což teď vidíte.

Chtěli jste sem jen plácnou reklamu na své služby nebo můžete doložit, že StartCom nemá pořádné zázemí, zatímco RapidSSL ano?

Řešíte problém, že tato autorita nemá dostupné OCSP servery. To nepovažuji za normální stav a považuji to za jejich selhání. Nevzpomínám si na jediný případ, kdyby k takovému problému došlo u autority patřící Symantecu, kterou je i GeoTrust a RapidSSL. Argumentů by se jistě pro srovnání našlo více.Vám takový problém nepodlamuje důvěru v danou CA? Představte si, že jste například Alza.cz a díky CA se Vám návštěvníci nedostanou na web. Kompenzace ze strany Startcomu bude předpokládám nulová.

Tohle by se určitě nemělo stávat, ale i jiné autority měly v historii problémy... A pořád důvěřuji nejvíce Startcomu, právě protože je komunitní a ta komunita pracuje poměrně dobře.

Stát se to může každému. Z jedné nedostupnosti OCSP serverů nevyplývá globálně (ne)pořádné zázemí. Máte nějaká jiná fakta kromě tohoto jednoho ojedinělého výpadku OCSP nebo to uzavřeme jako výkřik s reklamou?

Vy to berete jen jako rýpání do konkurence a reklamu. Jejich certifikáty zdarma jsou jistě výhodou, ale nejsou vhodné pro komerční nasazení (ani nemají být podle CA používány komerčně).Já sám jsem jejich služby vyzkoušel a moc spokojený jsem nebyl. V praxi je u Starcomu několik zásadních rozdílů oproti Symantecu - Starcom není flexibilní - problémy s reissue a zpoplatněná revokace (!); ověření na základě osobních dokladů, což Symantec zásadně nedělá. Dále je vystavování nelogické a netransparentní (typicky odmítají vystavit certifikát nové doméně + ta jejich podpora...). Ověřené certifikáty (placené) se vystavují jen po dobu platnosti ověření - tedy zbytečné náklady, protože neplatíte konkrétní certifikát. Přihlášení certifikátem je sice bezpečné, ale po jeho ztrátě poměrně fatální. Jejich blacklist domén je zvláštní a byla na něm i Bezpečnost je věc relativní, ale Vy můžete jmenovat nějaké podvodně vystavené certifikáty symantecu, thawte, nebo geotrustu? Zde bych negeneralizoval, protože všechny autority nejsou stejné. Startcom zažil "breach" v roce 2008 (falešné cert.) a 2011 (hack infrastruktury comodo hackerem).Tolik ve zkratce mé zkušenosti.