Uso uno de mi sitio web como prueba para varias técnicas TLS. Recientemente agregué OCSP Must-Staple a este dominio. Después de una semana recibí una queja de un usuario que no pudieron visitar el sitio web. Obtuvieron el error de Opera, Edge y Chrome. El error de Chrome fue el más claro: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
.
Después de algunas pruebas descubrí que su BitDefender haciendo intercepción SSL fue el culpable. Ahora, no quiero una discusión sobre si las compañías deberían estar haciendo algo así. Supongo que ERR_SSL_VERSION_OR_CIPHER_MISMATCH
es solo BitDefender diciendo: "No puedo hacer nada con esto, solo impedimos que el usuario visite al negociar una versión / cifrado SSL no válido con el navegador". Pero no entiendo cómo el Must-Staple en el certificado causó esto.
Tal vez no fue realmente el Must-Staple, o quizás fue en combinación con algún otro encabezado. Tengo encabezados de HPKP que serían el próximo candidato posible, pero los he tenido durante casi un año. No estoy muy versado en VM's y WireShark para investigar mucho. ¿Podría alguien ayudar a determinar la causa real para satisfacer mi curiosidad?