14 votes

LazNiko avatar

nginx : ssl_stapling_verify : Qu'est-ce qui est vérifié exactement ?

Demandé el 27 de Avril, 2017
Quand la question a-t-elle été
7951 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Que fait exactement le ssl_stapling_verify directive ? Vérifie-t-il si la signature de la réponse est correcte ? La documentation officielle de nginx est très vague sur ce point :

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Active ou désactive la vérification des réponses OCSP par le serveur.

Pour que la vérification fonctionne, le certificat de l'émetteur du certificat du serveur, le certificat racine et tous les certificats intermédiaires doivent être configurés comme fiables à l'aide de la directive ssl_trusted_certificate.

Demandé el 27 de Avril, 2017 par LazNiko

Réponses

Trop de publicités?

6voto

DailyiOS avatar
DailyiOS Points 66

J'ai trouvé dans le code source de Nginx. le fichier ngx_event_openssl_stapling.c#L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

Si la valeur de `ssl_stapling_verify` est activée, alors `staple->verify` sera vrai, ensuite la fonction `OCSP_basic_verify` utilisera le paramètre `OCSP_TRUSTOTHER` pour vérifier.

puis, j'ai trouvé le OCSP_basic_verify fonction dans openssl libaray, il a dit :

Ensuite, la fonction renvoie déjà un succès si les flags contiennent OCSP_NOVERIFY ou si le certificat du signataire a été trouvé dans certs et que les flags contiennent OCSP_TRUSTOTHER.

la suite est ici : https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Répondu el 9 de Janvier, 2019 par DailyiOS (66 Points )

1voto

Diogenes deLight avatar
Diogenes deLight Points 430

Wikipedia dit , "L'agrafage OCSP, officiellement connu sous le nom d'extension TLS Certificate Status Request, est une approche alternative au Online Certificate Status Protocol (OCSP) pour vérifier l'état de révocation des certificats numériques X.509. Elle permet au présentateur d'un certificat de supporter le coût des ressources impliquées dans la fourniture de réponses OCSP en l'ajout ("agrafage") d'une réponse OCSP horodatée et signée par l'autorité de certification à la poignée de main TLS initiale, ce qui évite aux clients de devoir contacter l'autorité de certification. ".

C'est nous qui soulignons.

Cette directive active ou désactive cette "approche alternative" de l'agrafage OCSP. Par défaut, l'agrafage OCSP n'est pas activé. Vous pouvez l'activer en utilisant

ssl_stapling_verify   on;
Répondu el 27 de Avril, 2017 par Diogenes deLight (430 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X