[server] nginx : ssl_stapling_verify : 정확히 무엇을 확인하고 있습니까?

ssl_stapling_verify지시문 은 정확히 무엇입니까 ? 답변의 서명이 올바른지 확인합니까? 공식 nginx 문서는 이것을 설명하는 데 매우 모호합니다.

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

서버에 의한 OCSP 응답 확인을 활성화 또는 비활성화합니다.

확인이 작동하려면 ssl_trusted_certificate 지시문을 사용하여 서버 인증서 발급자 인증서, 루트 인증서 및 모든 중간 인증서를 신뢰할 수있는 것으로 구성해야합니다.



답변

Nginx 소스 코드에서 찾았습니다. ngx_event_openssl_stapling.c # L660 파일 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

`ssl_stapling_verify` 값을 설정하면`staple-> verify`가 true가되고, 그 다음에`OCSP_basic_verify` 함수는`OCSP_TRUSTOTHER` 매개 변수를 사용하여 검증됩니다.

그런 다음 libaray 에서 OCSP_basic_verify 함수를 openssl찾았습니다.

그런 다음 플래그에 OCSP_NOVERIFY가 있거나 서명자 인증서가 certs에 있고 플래그에 OCSP_TRUSTOTHER가 있으면 함수는 이미 성공을 리턴합니다.

자세한 내용은 여기에 있습니다 : https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify


답변

Wikipedia는 “공식적으로 TLS 인증서 상태 요청 확장이라고 알려진 OCSP 스테이플 링은 X.509 디지털 인증서의 해지 상태를 확인하기위한 OCSP (Online Certificate Status Protocol)에 대한 대안 적 접근 방법입니다. CA가 서명 한 타임 스탬프 된 OCSP 응답을 초기 TLS 핸드 셰이크추가 ( “스테이플 링”)하여 클라이언트가 CA에 연결할 필요가 없도록하여 OCSP 응답 제공과 관련된 리소스 비용을 부담합니다 .

강조가 추가되었습니다.

이 지시문은 OCSP 스테이플 링의 “대체 방법”을 켜거나 끕니다. 기본적으로 OCSP 스테이플 링은 활성화되어 있지 않습니다. 당신은 그것을 사용하여 활성화 할 수 있습니다

ssl_stapling_verify   on;


답변