nginx: ssl_stapling_verify: Apa sebenarnya yang diverifikasi?

11

Apa sebenarnya ssl_stapling_verifyarahannya? Apakah ini memeriksa apakah tanda tangan jawaban sudah benar? Dokumentasi nginx resmi sangat kabur dalam menjelaskan ini:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Mengaktifkan atau menonaktifkan verifikasi respons OCSP oleh server.

Agar verifikasi berfungsi, sertifikat penerbit sertifikat server, sertifikat root, dan semua sertifikat perantara harus dikonfigurasi karena dipercaya menggunakan arahan ssl_trusted_certificate.

Bratwurstmobil
sumber

Jawaban:

4

Saya menemukan dalam kode sumber Nginx. file ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
jika Anda mengkonfigurasi nilai `ssl_stapling_verify` aktif, maka` staple-> verifikasi` akan benar, selanjutnya fungsi `OCSP_basic_verify` akan menggunakan param` OCSP_TRUSTOTHER` untuk diverifikasi.

kemudian, saya menemukan OCSP_basic_verify fungsi dalam openssllibaray, katanya:

Kemudian fungsi sudah mengembalikan kesuksesan jika flag berisi OCSP_NOVERIFY atau jika sertifikat penandatangan ditemukan dalam sertifikat dan flag berisi OCSP_TRUSTOTHER.

lebih lanjut tentang di sini: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

DailyiOS
sumber
1

Wikipedia mengatakan , "stapel OCSP, yang secara resmi dikenal sebagai ekstensi Permintaan Status Sertifikat TLS, adalah pendekatan alternatif untuk Protokol Status Sertifikat Online (OCSP) untuk memeriksa status pencabutan sertifikat digital X.509. Ini memungkinkan presenter sertifikat untuk menanggung biaya sumber daya yang terlibat dalam menyediakan respons OCSP dengan menambahkan ("penjepretan") respons OCSP yang bertanda waktu yang ditandatangani oleh CA ke jabat tangan TLS awal, menghilangkan kebutuhan klien untuk menghubungi CA ".

Penekanan ditambahkan.

Arahan menghidupkan atau mematikan "pendekatan alternatif" OCSP ini. Secara default, stapel OCSP tidak diaktifkan. Anda dapat mengaktifkannya menggunakan

ssl_stapling_verify   on;
Diogenes deLight
sumber
6
Stapel OCSP dikendalikan oleh arahan "ssl_stapling" dan dapat diaktifkan secara independen dari Verifikasi Stapel OCSP. Jika verifikasi dinonaktifkan, server hanya meneruskan ke klien respons OCSP yang diterima dari CA, tanpa melakukan validasi apa pun. Mengenai validasi spesifik yang dilakukan, saya tidak tahu pasti. Itu pasti termasuk memeriksa tanda tangan dari respons dan validitas sertifikat yang digunakan untuk menandatanganinya.
EliaCereda