nginx: ssl_stapling_verify: Qu'est-ce qui est vérifié exactement?

11

Que signifie exactement la ssl_stapling_verifydirective? Vérifie-t-il si la signature de la réponse est correcte? La documentation officielle de nginx est très vague pour expliquer ceci:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Active ou désactive la vérification des réponses OCSP par le serveur.

Pour que la vérification fonctionne, le certificat de l'émetteur du certificat du serveur, le certificat racine et tous les certificats intermédiaires doivent être configurés comme approuvés à l'aide de la directive ssl_trusted_certificate.

Bratwurstmobil
la source

Réponses:

4

J'ai trouvé dans le code souce Nginx. le fichier ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
si vous configurez la valeur `ssl_stapling_verify` est activée, alors` staple-> verify` sera vrai, ensuite la fonction `OCSP_basic_verify` utilisera le paramètre` OCSP_TRUSTOTHER `pour vérifié.

puis, j'ai trouvé la OCSP_basic_verify fonction openssllibaray, il a dit:

Ensuite, la fonction renvoie déjà le succès si les indicateurs contiennent OCSP_NOVERIFY ou si le certificat de signataire a été trouvé dans les certificats et que les indicateurs contiennent OCSP_TRUSTOTHER.

en savoir plus est ici: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

DailyiOS
la source
1

Wikipédia dit : "L'agrafage OCSP, officiellement connu sous le nom d'extension de demande d'état de certificat TLS, est une approche alternative au protocole OCSP (Online Certificate Status Protocol) pour vérifier l'état de révocation des certificats numériques X.509. Il permet au présentateur d'un certificat de assumer le coût des ressources nécessaires pour fournir des réponses OCSP en ajoutant ("agrafage") une réponse OCSP horodatée signée par l'autorité de certification à la prise de contact TLS initiale, éliminant ainsi la nécessité pour les clients de contacter l'autorité de certification ".

Je souligne.

La directive active ou désactive cette "approche alternative" d'agrafage OCSP. Par défaut, l'agrafage OCSP n'est pas activé. Vous pouvez l'activer en utilisant

ssl_stapling_verify   on;
Diogenes deLight
la source
6
L'agrafage OCSP est contrôlé par la directive "ssl_stapling" et peut être activé indépendamment de la vérification d'agrafage OCSP. Si la vérification est désactivée, le serveur transmet simplement au client la réponse OCSP qu'il a reçue de l'autorité de certification, sans effectuer de validation. Concernant les validations spécifiques effectuées, je n'en suis pas sûr. Il s'agit définitivement de vérifier la signature de la réponse et la validité du certificat utilisé pour la signer.
EliaCereda