nginx : ssl_stapling_verify : 정확히 무엇을 확인하고 있습니까?


11

ssl_stapling_verify지시문 은 정확히 무엇입니까 ? 답변의 서명이 올바른지 확인합니까? 공식 nginx 문서는 이것을 설명하는 데 매우 모호합니다.

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

서버에 의한 OCSP 응답 확인을 활성화 또는 비활성화합니다.

확인이 작동하려면 ssl_trusted_certificate 지시문을 사용하여 서버 인증서 발급자 인증서, 루트 인증서 및 모든 중간 인증서를 신뢰할 수있는 것으로 구성해야합니다.

답변:


4

Nginx 소스 코드에서 찾았습니다. ngx_event_openssl_stapling.c # L660 파일 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
`ssl_stapling_verify` 값을 설정하면`staple-> verify`가 true가되고, 그 다음에`OCSP_basic_verify` 함수는`OCSP_TRUSTOTHER` 매개 변수를 사용하여 검증됩니다.

그런 다음 libaray 에서 OCSP_basic_verify 함수를 openssl찾았습니다.

그런 다음 플래그에 OCSP_NOVERIFY가 있거나 서명자 인증서가 certs에 있고 플래그에 OCSP_TRUSTOTHER가 있으면 함수는 이미 성공을 리턴합니다.

자세한 내용은 여기에 있습니다 : https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify


1

Wikipedia는 "공식적으로 TLS 인증서 상태 요청 확장이라고 알려진 OCSP 스테이플 링은 X.509 디지털 인증서의 해지 상태를 확인하기위한 OCSP (Online Certificate Status Protocol)에 대한 대안 적 접근 방법입니다. CA가 서명 한 타임 스탬프 된 OCSP 응답을 초기 TLS 핸드 셰이크추가 ( "스테이플 링")하여 클라이언트가 CA에 연결할 필요가 없도록하여 OCSP 응답 제공과 관련된 리소스 비용을 부담합니다 .

강조가 추가되었습니다.

이 지시문은 OCSP 스테이플 링의 "대체 방법"을 켜거나 끕니다. 기본적으로 OCSP 스테이플 링은 활성화되어 있지 않습니다. 당신은 그것을 사용하여 활성화 할 수 있습니다

ssl_stapling_verify   on;

6
OCSP 스테이플 링은 "ssl_stapling"지시문에 의해 제어되며 OCSP 스테이플 링 검증과 독립적으로 활성화 할 수 있습니다. 확인이 비활성화 된 경우 서버는 확인을 수행하지 않고 CA로부터받은 OCSP 응답을 클라이언트에 전달합니다. 수행 된 특정 유효성 검사와 관련하여 확실하지 않습니다. 응답 서명과 서명에 사용 된 인증서의 유효성을 확인하는 것이 포함됩니다.
EliaCereda
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.