Uso uno dei miei siti Web come test per varie tecniche TLS. Recentemente ho aggiunto OCSP Must-Staple a questo dominio. Dopo una settimana ho ricevuto un reclamo da un utente che non era in grado di visitare il sito web. Hanno ricevuto l'errore da Opera, Edge e Chrome. L'errore di Chrome è stato il più chiaro: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
.
Dopo alcuni test ho scoperto che il loro BitDefender che eseguiva l'intercettazione SSL era il colpevole. Ora, non voglio una discussione sul fatto che le aziende dovrebbero fare una cosa del genere. Presumo che ERR_SSL_VERSION_OR_CIPHER_MISMATCH
sia solo BitDefender che dice: "Non sono in grado di fare nulla con questo, blocchiamo solo l'utente dal visitare negoziando nessuna versione SSL / cifrari valida con il browser". Ma non capisco come la Must-Staple nel certificato abbia causato questo.
Forse non era in realtà il Must-Staple, o forse era in combinazione con qualche altro header. Ho intestazioni HPKP che sarebbero il prossimo candidato possibile, ma ho avuto quelle per quasi un anno. Non sono molto esperto in VM e WireShark per fare molte ricerche. Qualcuno potrebbe aiutare a determinare la vera causa per soddisfare la mia curiosità?