AH01974: could not connect to OCSP responder ‘ocsp.comodoca.com’

74 12 de novembro de 2023

O OCSP (Online Certificate Status Protocol) é utilizado para assegurar que o status atual de um certificado SSL seja constantemente comunicado tanto ao servidor web quanto ao navegador do cliente. Este protocolo fornece atualizações sobre se um certificado foi revogado, permitindo que o navegador recuse a conexão caso essa informação não esteja disponível.

Efeitos imediatos do mau funcionamento ou da ineficiência do OCSP podem incluir:

– Lentidão do site;

– Instabilidade no acesso;

– Queda do servidor de páginas.

Mensagem de erro padrão:

The timeout specified has expired: [client 189.94.116.123:55209] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'
The timeout specified has expired: [client 189.46.27.179:47964] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'
The timeout specified has expired: [client 189.46.27.179:47963] AH01974: could not connect to OCSP responder 'ocsp.comodoca.com'

Para diagnosticar e resolver os erros de resposta do OCSP no cPanel, siga estes passos:

a) Verifique se o cache DNS está afetando o acesso

Se o servidor dedicado estiver utilizando um DNS resolver fornecido pelo próprio Data Center, compare o resultado de entrega com os comandos abaixo:

dig A +short ocsp.comodoca.com
dig A +short ocsp.comodoca.com @8.8.8.8

Se os resultados forem diferentes para as duas consultas acima, adeque o DNS resolver de seu servidor para que ele possa enxergar corretamente o IP do OCSP.

b) Verifique se o url ocsp.comodoca.com é alcançado através do ‘ping’

Execute os comandos abaixo e observe se haverá recursa por parte dos servidores PCSP.

ping ocsp.comodoca.com
PING t3j2g9x7.stackpathcdn.com (151.139.128.14) 56(84) bytes of data.
--- t3j2g9x7.stackpathcdn.com ping statistics ---
31 packets transmitted, 0 received, 100% packet loss, time 30000ms

Em caso de não haver resposta ao comando ‘ping’ para ocsp.comodoca.com, você também deve verificar com o ‘ping6’. Este comando testa a conectividade IPv6, que pode ser relevante se o servidor OCSP estiver acessível via IPv6. Para fazer isso, use o comando:

ping6 ocsp.comodoca.com

Isso ajudará a determinar se o problema de conectividade está relacionado especificamente ao IPv4 ou se também afeta o IPv6.

Se não houver resposta aos comandos ‘ping’ ou ‘ping6’, pode indicar problemas de rede que estão impedindo o seu servidor de alcançar o servidor OCSP. Neste cenário, é aconselhável relatar o problema ao seu provedor de serviços de hospedagem ou ao suporte técnico do Data Center. Eles devem verificar possíveis falhas de roteamento ou outras questões de rede que possam estar causando a interrupção da comunicação com o servidor OCSP.

Resolvendo o problema:

Você pode desativar temporariamente a consulta OCSP no Apache HTTP enquanto as verificações de datacenter e rede estão sendo processadas. Siga os passos abaixo:

1 – Acesse o servidor WHM como usuário root.

2 – Navegue até o grupo ‘Service Configuration’ e clique em ‘Apache Configuration’.

3 – Clique em ‘Include Editor’ e localize a seção ‘Pre VirtualHost Include’.

4 – Em ‘I wish to edit the Pre VirtualHost configuration include file for:’, escolha “All Versions” e adicione a seguinte linha:

SSLUseStapling off

5 – Clique em ‘Update’ para reiniciar o servidor Apache.

Pronto: Agora, monitore a saída dos logs do servidor Apache para verificar se a mensagem de erro referente ao OCSP foi resolvida. Use o seguinte comando:

tail -f /usr/local/apache/logs/error_log | grep "OCSP responder"

📢Lembre-se, se surgirem dúvidas ou necessidade de assistência, não hesite em entrar em contato com nosso time de atendimento ao cliente. Estamos sempre prontos para oferecer suporte especializado em suporte a servidores cPanel/Directadmin, garantindo que você tenha a melhor experiência e suporte técnico necessário.