nginx: ssl_stapling_verify: O que exatamente está sendo verificado?

11

O que exatamente faz a ssl_stapling_verifydiretiva? Verifica se a assinatura da resposta está correta? A documentação oficial do nginx é muito vaga para explicar isso:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Habilita ou desabilita a verificação das respostas do OCSP pelo servidor.

Para que a verificação funcione, o certificado do emissor do certificado do servidor, o certificado raiz e todos os certificados intermediários devem ser configurados como confiáveis ​​usando a diretiva ssl_trusted_certificate.

Bratwurstmobil
fonte

Respostas:

4

Eu encontrei no código de fonte Nginx. o arquivo ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
se você configurar o valor `ssl_stapling_verify` estiver ativado,` grampo-> verificar` será verdadeiro; em seguida, a função `OCSP_basic_verify` utilizará o parâmetro` OCSP_TRUSTOTHER` para verificar.

então, eu encontrei o OCSP_basic_verify função em openssllibaray, ele disse:

A função já retornará êxito se os sinalizadores contiverem OCSP_NOVERIFY ou se o certificado de assinante foi encontrado em certs e os sinalizadores contiverem OCSP_TRUSTOTHER.

o mais sobre está aqui: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

DailyiOS
fonte
1

A Wikipedia diz que "o grampeamento OCSP, formalmente conhecido como extensão de solicitação de status de certificado TLS, é uma abordagem alternativa ao OCSP (Online Certificate Status Protocol) para verificar o status de revogação dos certificados digitais X.509. Ele permite que o apresentador de um certificado arcar com o custo do recurso envolvido no fornecimento de respostas OCSP anexando ("grampeando") uma resposta OCSP com carimbo de data e hora assinada pela CA ao handshake TLS inicial, eliminando a necessidade de os clientes entrarem em contato com a CA ".

Enfase adicionada.

A diretiva ativa ou desativa essa "abordagem alternativa" do grampeamento OCSP. Por padrão, o grampeamento OCSP não está ativado. Você pode habilitá-lo usando

ssl_stapling_verify   on;
Diogenes deLight
fonte
6
O grampeamento OCSP é controlado pela diretiva "ssl_stapling" e pode ser ativado independentemente da verificação de grampeamento OCSP. Se a verificação estiver desativada, o servidor simplesmente encaminha para o cliente a resposta OCSP recebida da CA, sem executar nenhuma validação. Quanto às validações específicas realizadas, não tenho certeza. Definitivamente, inclui a verificação da assinatura da resposta e a validade do certificado usado para assiná-la.
EliaCereda 5/05