Firefox 浏览器SSL错误“MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING”

偶然用 Firefox 浏览器打开我运营的网站，发现SSL证书出现 "MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING" 错误。

经过搜索工具的排查，发现是申请证书时设置了 OCSP 。启用 OCSP 装订（TLS 证书状态查询扩展）后， 服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。OCSP 装订极大地提高了 TLS 握手效率，节省了用户验证时间。

所以需要调整 Nginx 配置，在网站 Nginx 配置中添加以下配置信息：

# 启用OCSP stapling
ssl_stapling on;
# 启用OCSP响应验证，OCSP信息响应适用的证书
ssl_stapling_verify on;
# valid表示缓存5分钟，resolver_timeout表示网络超时时间
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;

配置完成后，验证以下 nginx 配置信息，重启即可。

如果CDN也开启了HTTPS配置，则打开开关即可，如需其他配置。下图以腾讯云CDN为例。

选择域名管理，单击域名右侧管理，即可进入域名配置页面 Https 配置中，可看到 OCSP 装订配置，默认情况下为关闭状态。