O OCSP (Online Certificate Status Protocol) é usado para garantir que o status atual de um determinado certificado SSL seja sempre comunicado ao servidor da Web e ao navegador do cliente.
Este protocolo fornece atualizações se um certificado foi revogado, portanto, o navegador poderá recusar a conexão quando não encontrar esta informação.
Efeitos imediatos:
- site lento
- instabilidade no acesso
- queda do servidor de páginas
Mensagem de erro padrão:
The timeout specified has expired: [client 189.94.116.123:55209] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'The timeout specified has expired: [client 189.46.27.179:47964] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'The timeout specified has expired: [client 189.46.27.179:47963] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'
a) Verifique se o cache DNS está afetando o acesso
Se o servidor dedicado estiver utilizando um DNS resolver fornecido pelo próprio Data Center, compare o resultado de entrega com os comandos abaixo:
dig A +short ocsp.comodoca.com
dig A +short ocsp.comodoca.com @8.8.8.8
Se os resultados forem diferentes para as duas consultas acima, adeque o DNS resolver de seu servidor para que ele possa enxergar corretamente o IP do OCSP.
b) Verifique se o url ocsp.comodoca.com é alcançado através do 'ping'
Execute os comandos abaixo e observe se haverá recursa por parte dos servidores PCSP.
ping ocsp.comodoca.com
PING t3j2g9x7.stackpathcdn.com (151.139.128.14) 56(84) bytes of data.
--- t3j2g9x7.stackpathcdn.com ping statistics ---
31 packets transmitted, 0 received, 100% packet loss, time 30000ms
Em caso de ausência de resposta ao ping, verifique também com o ping6.
ping6 ocsp.comodoca.comPING ocsp.comodoca.com(2001:4de0:ac19::1:b:3a (2001:4de0:ac19::1:b:3a)) 56 data bytes--- ocsp.comodoca.com ping statistics ---3 packets transmitted, 0 received, 100% packet loss, time 1999ms
Se não houver resposta alguma, problemas de rede podem estar impedindo que o seu servidor atinja o servidor OCSP.
Neste caso, relate ao seu provedor (ou ao suporte do Data Center) para que eles verifiquem possíveis falhas de roteamento.
Você poderá optar por desligar a consulta diretamente no Http Apache, enquanto as outras verificações (datacenter e rede) são processadas. Para isso, siga os passos:
1 - Acesse o servidor WHM através do usuário root
2 - Navegue até o grupo 'Service Configuration' e clique no menu 'Apache Configuration'
3 - Clique em 'Include Editor' e identifique a função 'Pre VirtualHost Include'
4 - Em 'I wish to edit the Pre VirtualHost configuration include file for:' escolha "All Versions" e inclua o conteúdo abaixo:
SSLUseStapling off
5 - Clique em 'Update' para que o servidor de páginas seja reiniciado.
Agora, monitore a saída dos logs do servidor de páginas (HTTP Apache) para observar se a mensagem de erro cessou.
tail -f /usr/local/apache/logs/error_log | grep "OCSP responder"
É sempre oportuno mencionar que você deverá dispensar bastante atenção ao executar comandos logado como root. Se precisar de apoio especialista, não deixe de realizar um orçamento com o departamento comercial da Sierti.
