nginx: ssl_stapling_verify: Что именно проверяется?


11

Что именно делает ssl_stapling_verifyдиректива? Проверяет ли правильность подписи ответа? Официальная документация nginx объясняет это очень расплывчато:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Включает или отключает проверку ответов OCSP сервером.

Чтобы проверка работала, сертификат поставщика сертификата сервера, корневой сертификат и все промежуточные сертификаты должны быть настроены как доверенные с помощью директивы ssl_trusted_certificate.

Ответы:


4

Я нашел в коде Nginx souce. файл ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
если вы сконфигурируете значение `ssl_stapling_verify`, то` staple-> verify` будет истинным, затем функция `OCSP_basic_verify` будет использовать параметр` OCSP_TRUSTOTHER` для проверки.

затем я нашел функцию OCSP_basic_verify в openssllibaray, в которой сказано:

Тогда функция уже возвращает успех, если флаги содержат OCSP_NOVERIFY или если сертификат сертификата был найден в сертификатах, а флаги содержат OCSP_TRUSTOTHER.

больше о здесь: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify


1

Википедия говорит : «Сшивание OCSP, формально известное как расширение запроса статуса сертификата TLS, является альтернативным подходом к онлайн-протоколу статуса сертификата (OCSP) для проверки статуса аннулирования цифровых сертификатов X.509. Он позволяет предъявителю сертификата нести стоимость ресурсов, связанных с предоставлением ответов OCSP, добавляя («сшивая») ответ OCSP с меткой времени, подписанный СА, к первоначальному рукопожатию TLS, устраняя необходимость для клиентов обращаться в СА ».

Акцент добавлен.

Директива включает или выключает этот «альтернативный подход» сшивания OCSP. По умолчанию сшивание OCSP не включено. Вы можете включить его, используя

ssl_stapling_verify   on;

6
Сшивание OCSP контролируется директивой ssl_stapling и может быть включено независимо от проверки сшивания OCSP. Если проверка отключена, сервер просто пересылает клиенту ответ OCSP, полученный им от СА, без какой-либо проверки. Что касается конкретных выполненных проверок, я точно не знаю. Это определенно включает проверку подписи ответа и действительность сертификата, использованного для его подписания.
EliaCereda
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.