nginx: ssl_stapling_verify: ¿Qué se está verificando exactamente?

11

¿Qué hace exactamente la ssl_stapling_verifydirectiva? ¿Comprueba si la firma de la respuesta es correcta? La documentación oficial de nginx es muy vaga al explicar esto:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Habilita o deshabilita la verificación de respuestas OCSP por parte del servidor.

Para que la verificación funcione, el certificado del emisor del certificado del servidor, el certificado raíz y todos los certificados intermedios deben configurarse como confiables utilizando la directiva ssl_trusted_certificate.

Bratwurstmobil
fuente

Respuestas:

4

Encontré en Nginx código fuente. el archivo ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
si configura el valor `ssl_stapling_verify` está activado, entonces` grapar-> verificar` será verdadero, luego la función `OCSP_basic_verify` usará el parámetro` OCSP_TRUSTOTHER `para verificar.

entonces, he encontrado el OCSP_basic_verify función en openssllibaray, que dijo:

Entonces la función ya devuelve el éxito si los indicadores contienen OCSP_NOVERIFY o si el certificado de firmante se encontró en certs y los indicadores contienen OCSP_TRUSTOTHER.

Más información está aquí: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

DailyiOS
fuente
1

Wikipedia dice : "El engrapado OCSP, conocido formalmente como la extensión de Solicitud de estado de certificado TLS, es un enfoque alternativo al Protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados digitales X.509. Permite al presentador de un certificado asumir el costo de los recursos involucrados en proporcionar respuestas OCSP al agregar ("grapar") una respuesta OCSP con sello de tiempo firmada por la CA al apretón de manos inicial de TLS, eliminando la necesidad de que los clientes contacten a la CA ".

Énfasis añadido.

La directiva activa o desactiva este "enfoque alternativo" de grapado OCSP. De forma predeterminada, el grapado OCSP no está habilitado. Puedes habilitarlo usando

ssl_stapling_verify   on;
Diogenes deLight
fuente
66
El grapado OCSP se controla mediante la directiva "ssl_stapling" y se puede habilitar independientemente de la verificación de grapado OCSP. Si la verificación está deshabilitada, el servidor simplemente reenvía al cliente la respuesta OCSP que recibió de la CA, sin realizar ninguna validación. En cuanto a las validaciones específicas realizadas, no estoy seguro. Definitivamente incluye verificar la firma de la respuesta y la validez del certificado utilizado para firmarlo.
EliaCereda