nginx: ssl_stapling_verify: che cosa viene verificato esattamente?

11

Cosa fa esattamente la ssl_stapling_verifydirettiva? Verifica se la firma della risposta è corretta? La documentazione ufficiale di nginx è molto vaga nello spiegare questo:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Abilita o disabilita la verifica delle risposte OCSP da parte del server.

Affinché la verifica funzioni, il certificato dell'emittente del certificato del server, il certificato radice e tutti i certificati intermedi devono essere configurati come attendibili utilizzando la direttiva ssl_trusted_certificate.

nginx  ocsp 
Bratwurstmobil
fonte

Risposte:

4

Ho trovato nel codice Souce di Nginx. il file ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
se si configura il valore `ssl_stapling_verify` è attivo, allora` staple-> verifica` sarà vero, successivamente la funzione `OCSP_basic_verify` utilizzerà il parametro` OCSP_TRUSTOTHER `per verificare.

poi, ho trovato l'OCSP_basic_verify funzione openssllibaray, ha detto:

Quindi la funzione restituisce già successo se i flag contengono OCSP_NOVERIFY o se il certificato del firmatario è stato trovato in certs e i flag contengono OCSP_TRUSTOTHER.

di più qui: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

DailyiOS
fonte
1

Wikipedia afferma che "la pinzatura OCSP, formalmente nota come estensione richiesta stato certificato TLS, è un approccio alternativo al protocollo OCSP (Online Certificate Status Protocol) per il controllo dello stato di revoca dei certificati digitali X.509. Consente al presentatore di un certificato di sostenere i costi delle risorse per fornire le risposte OCSP aggiungendo ("pinzatura") una risposta OCSP timestamp firmata dalla CA alla stretta di mano TLS iniziale, eliminando la necessità per i clienti di contattare la CA ".

Enfasi aggiunta.

La direttiva attiva o disattiva questo "approccio alternativo" della pinzatura OCSP. Per impostazione predefinita, la pinzatura OCSP non è abilitata. Puoi abilitarlo usando

ssl_stapling_verify   on;
Diogenes deLight
fonte
6
La pinzatura OCSP è controllata dalla direttiva "ssl_stapling" e può essere abilitata indipendentemente dalla verifica della pinzatura OCSP. Se la verifica è disabilitata, il server inoltra semplicemente al client la risposta OCSP ricevuta dalla CA, senza eseguire alcuna convalida. Per quanto riguarda le convalide specifiche eseguite, non lo so per certo. Include sicuramente il controllo della firma della risposta e la validità del certificato utilizzato per firmarlo.
EliaCereda,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.