nginx: ssl_stapling_verify: Chính xác thì điều gì đang được xác minh?

Chính xác những ssl_stapling_verifygì chỉ thị? Nó có kiểm tra xem chữ ký của câu trả lời có đúng không? Tài liệu nginx chính thức rất mơ hồ trong việc giải thích điều này:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Cho phép hoặc vô hiệu hóa xác minh phản hồi OCSP của máy chủ.

Để xác minh hoạt động, chứng chỉ của tổ chức phát hành chứng chỉ máy chủ, chứng chỉ gốc và tất cả các chứng chỉ trung gian phải được định cấu hình là đáng tin cậy bằng cách sử dụng lệnh ssl_trust_cert ve.

Tôi tìm thấy trong mã Nginx souce. tệp ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

Sau đó, tôi tìm thấy hàm OCSP_basic_verify trong libarayopenssl , nó nói:

Sau đó, hàm đã trả về thành công nếu các cờ chứa OCSP_NOVERIFY hoặc nếu chứng chỉ người ký được tìm thấy trong certs và các cờ chứa OCSP_TRUSTOTHER.

nhiều hơn về đây là: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Wikipedia cho biết , "Công cụ dập ghim OCSP, chính thức được gọi là phần mở rộng Yêu cầu chứng chỉ TLS, là một cách tiếp cận thay thế cho Giao thức trạng thái chứng chỉ trực tuyến (OCSP) để kiểm tra trạng thái hủy bỏ của chứng chỉ kỹ thuật số X.509. Nó cho phép người trình bày chứng chỉ chịu chi phí tài nguyên liên quan đến việc cung cấp phản hồi OCSP bằng cách nối thêm ("dập ghim") một phản hồi OCSP có dấu thời gian được CA ký vào cái bắt tay TLS ban đầu, loại bỏ nhu cầu khách hàng liên hệ với CA ".

Nhấn mạnh thêm.

Lệnh này bật hoặc tắt "cách tiếp cận thay thế" của dập ghim OCSP. Theo mặc định, dập ghim OCSP không được bật. Bạn có thể kích hoạt nó bằng cách sử dụng

ssl_stapling_verify   on;