nginx: ssl_stapling_verify: Chính xác thì điều gì đang được xác minh?


11

Chính xác những ssl_stapling_verifygì chỉ thị? Nó có kiểm tra xem chữ ký của câu trả lời có đúng không? Tài liệu nginx chính thức rất mơ hồ trong việc giải thích điều này:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Cho phép hoặc vô hiệu hóa xác minh phản hồi OCSP của máy chủ.

Để xác minh hoạt động, chứng chỉ của tổ chức phát hành chứng chỉ máy chủ, chứng chỉ gốc và tất cả các chứng chỉ trung gian phải được định cấu hình là đáng tin cậy bằng cách sử dụng lệnh ssl_trust_cert ve.

Câu trả lời:


4

Tôi tìm thấy trong mã Nginx souce. tệp ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
nếu bạn định cấu hình giá trị `ssl_stapling_verify`, thì` chủ yếu-> xác minh` sẽ đúng, tiếp theo hàm `OCSP_basic_verify` sẽ sử dụng` OCSP_TRUSTOTHER` param để xác minh.

Sau đó, tôi tìm thấy hàm OCSP_basic_verify trong libarayopenssl , nó nói:

Sau đó, hàm đã trả về thành công nếu các cờ chứa OCSP_NOVERIFY hoặc nếu chứng chỉ người ký được tìm thấy trong certs và các cờ chứa OCSP_TRUSTOTHER.

nhiều hơn về đây là: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify


1

Wikipedia cho biết , "Công cụ dập ghim OCSP, chính thức được gọi là phần mở rộng Yêu cầu chứng chỉ TLS, là một cách tiếp cận thay thế cho Giao thức trạng thái chứng chỉ trực tuyến (OCSP) để kiểm tra trạng thái hủy bỏ của chứng chỉ kỹ thuật số X.509. Nó cho phép người trình bày chứng chỉ chịu chi phí tài nguyên liên quan đến việc cung cấp phản hồi OCSP bằng cách nối thêm ("dập ghim") một phản hồi OCSP có dấu thời gian được CA ký vào cái bắt tay TLS ban đầu, loại bỏ nhu cầu khách hàng liên hệ với CA ".

Nhấn mạnh thêm.

Lệnh này bật hoặc tắt "cách tiếp cận thay thế" của dập ghim OCSP. Theo mặc định, dập ghim OCSP không được bật. Bạn có thể kích hoạt nó bằng cách sử dụng

ssl_stapling_verify   on;

6
OCSP Stapling được điều khiển bởi chỉ thị "ssl_stapling" và có thể được kích hoạt độc lập với Xác minh dập ghim OCSP. Nếu xác minh bị vô hiệu hóa, máy chủ chỉ cần chuyển tiếp đến máy khách phản hồi OCSP mà nó nhận được từ CA, mà không thực hiện bất kỳ xác nhận nào. Về các xác nhận cụ thể được thực hiện, tôi không biết chắc chắn. Nó chắc chắn bao gồm kiểm tra chữ ký của phản hồi và tính hợp lệ của chứng chỉ được sử dụng để ký nó.
EliaCereda
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.