SEC_ERROR_REVOKED_CERTIFICATE 错误仅在 PC Firefox 上

SEC_ERROR_REVOKED_CERTIFICATE error only on PC Firefox

此站点 (https://ssptrades.com) 目前给我 SSL 问题...但仅限 PC Firefox。

我可以通过在另一个浏览器中查看证书来判断证书是 TSL 1.2...这会是个问题吗?如果是,我如何使用 IIS 为 TLS 1.3 生成证书或证书请求?

这是 pc firefox 81.0.2(64 位)上的错误

连接到 ssptrades.com 时发生错误。同行的证书已被吊销。

错误代码:SEC_ERROR_REVOKED_CERTIFICATE

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

Firefox 是正确的,证书被吊销了。这可以用 SSLLabs:

来验证

...

为什么你只在 Firefox 中看到这个?因为其他浏览器可能没有正确检查吊销 - 请参阅 How well do current browsers handle certificate revocation? or How Do Browsers Handle Revoked SSL/TLS Certificates? 了解更多信息。

我不知道为什么 Chrome 和 Edge 都不检查吊销状态,但 Firefox 是对的。该证书于 11 月 5 日被吊销,因为 GoDaddy 认为 ssptrades.com 已停止运营。

如何手动检查撤销

  1. 将ssptrades.com的证书保存到文件site.cer,将颁发者的证书保存到文件gd1.cer

  2. 获取URL到OCSP服务:

openssl x509 -noout -ocsp_uri -in site.cer

输出:http://ocsp.godaddy.com/

  1. 检查 OCSP 状态:
openssl ocsp -issuer gd1.cer -cert site.cer -text -url http://ocsp.godaddy.com/

(缩短)输出:

OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, ST = Arizona, L = Scottsdale, O = GoDaddy Inc., CN = Go Daddy Validation Authority - G2
    Produced At: Nov  6 20:11:53 2020 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: B6080D5F6C6B76EB13E438A5F8660BA85233344E
      Issuer Key Hash: 40C2BD278ECC348330A233D7FB6CB3F0B42C80CE
      Serial Number: 54FC3E8F69D995CF
    Cert Status: revoked
    Revocation Time: Nov  5 20:08:54 2020 GMT
    Revocation Reason: cessationOfOperation (0x5)

最后三行告诉我们:证书于 11 月 5 日被吊销,原因是“停止操作”(代码 0x5)