Cpanel: Xử lý lỗi stapling_renew_response: responder error trong log apache linux!

  • Wednesday 29/04/2020

Hiện tượng : các site dùng ssl miễn phí không truy cập được port 443, port 80 vẫn truy cập bình thường. Kiểm tra trong error_log apache thì có lỗi :

[ssl:error]   stapling_renew_response: responder error

[ssl:error]  The timeout specified has expired:

could not connect to OCSP responder

v.v

Nguyên nhân :

Request đến server chứng chỉ bị nghẽn vì 1 lý do nào đó từ phía client, thường xuất hiện ở 1 số phiên bản Cpanel do kết nối từ phía người dùng.

Các khắc phục disable SSL Stapling trong apache. Để ngăn trình duyệt người dùng cuối dùng OCSP truy vấn kiểm tra thay vì đợi server thực hiện vấn đề đó.

1) Truy cập vào  WHM -> Service Configuration -> Apache Configuration -> Include Editor.
2) Bên dưới “Pre Virtualhost Includes” chọn từ dropbox “All Versions”
3) Trong Text box xuất hiện nhập vào:

SSLUseStapling off

4) Nhấn “Update” để lưu thay đổi, và sau đó restart  Apache cập nhật thay đổi.

=====

Bạn cũng có thể dùng câu lệnh sau :

Với EA4:
== == == == == == == ==
echo “SSLUseStapling off” >> /etc/apache2/conf.d/includes/pre_virtualhost_global.conf; /scripts/restartsrv_httpd
== == == == == == == ==

Với EA3:
== == == == == == == ==
echo “SSLUseStapling off” >> /usr/local/apache/conf/includes/pre_virtualhost_global.conf; /scripts/restartsrv_httpd
== == == == == == == ==

Giải thích thuật ngữ :

Về OCSP (Online Certificate Status Protocol)

OCSP là một giao thức để kiểm tra tình trạng hợp lệ của một thư số SSL ở thời gian thực. Giao thức này được sinh ra nhằm thay thế cho cách kiểm tra truyền thống dùng CRL (Certificate revocation list). Với cách kiểm tra CRL, trình duyệt sẽ tải một danh sách chứa các chứng thư số SSL đã bị thu hồi của mỗi CA, và việc này sẽ làm chậm quá trình thiết lập kết nối SSL giữa trình duyệt và máy chủ web. Với giao thức OCSP, trình duyệt sẽ gửi một yêu cầu đến một địa chỉ truy vấn OCSP của CA và nhận được một kết quả có chứa tình trạng hiệu lực của chứng thư số SSL của website.

OCSP có hai tồn đọng: tính riêng tư và gia tăng tải trên máy chủ truy vấn OCSP của CA.

Việc OCSP yêu cầu trình duyệt liên hệ với CA để xác nhận tính hợp lệ của chứng thư số SSL trên website sẽ làm mất tính riêng tư. CA sẽ biết được những trang web nào đang được truy cập và thông tin của người đang truy cập chúng.

Nếu một trang web HTTPS được rất nhiều khách truy cập, thì máy chủ truy vấn OCSP của CA sẽ phải xử lý tất cả các yêu cầu OCSP được thực hiện bởi trình duyệt của từng khách khách truy cập.

Về OCSP stapling

Khi máy chủ web được cấu hình OCSP stapling hoàn chỉnh, đầu tiên máy chủ sẽ thực hiện truy vấn OCSP đến máy chủ OCSP của CA và lưu trữ kết quả trên bộ nhớ đệm của máy chủ web. Máy chủ web sẽ tự động thực hiện lại quá trình truy vấn OCSP và cập nhật kết quả này sau một khoảng thời gian nhất định. Kết quả truy vấn OCSP này sẽ được được đính kèm trong quá trình thực hiện TLS Handshake giữa trình duyệt và máy chủ web thông qua thuộc tính mở rộng Certificate Status Request. Từ đó trình duyệt có thể sử dụng ngay kết quả kiểm tra tình trạng hợp lệ của chứng thư số SSL mà không cần phải thực hiện truy vấn đến máy chủ OCSP của CA.