nginx: ssl_stapling_verify: Was genau wird überprüft?


10

Was genau macht die ssl_stapling_verifyRichtlinie? Überprüft es, ob die Unterschrift der Antwort korrekt ist? Die offizielle Nginx-Dokumentation erklärt dies sehr vage:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Aktiviert oder deaktiviert die Überprüfung von OCSP-Antworten durch den Server.

Damit die Überprüfung funktioniert, sollten das Zertifikat des Ausstellers des Serverzertifikats, das Stammzertifikat und alle Zwischenzertifikate mithilfe der Anweisung ssl_trusted_certificate als vertrauenswürdig konfiguriert werden.

Antworten:


3

Ich habe in Nginx Quellcode gefunden. die Datei ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
Wenn Sie den Wert "ssl_stapling_verify" konfigurieren, ist "staple-> verify" wahr. Als Nächstes verwendet die Funktion "OCSP_basic_verify" den Parameter "OCSP_TRUSTOTHER" zur Überprüfung.

dann fand ich die OCSP_basic_verify Funktion in openssl, libaray es:

Dann gibt die Funktion bereits Erfolg zurück, wenn die Flags OCSP_NOVERIFY enthalten oder wenn das Unterzeichnerzertifikat in Zertifikaten gefunden wurde und die Flags OCSP_TRUSTOTHER enthalten.

Mehr dazu finden Sie hier: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify


0

Wikipedia sagt : "OCSP-Heften, formal bekannt als TLS Certificate Status Request-Erweiterung, ist ein alternativer Ansatz zum Online Certificate Status Protocol (OCSP) zur Überprüfung des Sperrstatus von digitalen X.509-Zertifikaten. Es ermöglicht dem Präsentator eines Zertifikats, dies zu tun." Tragen Sie die mit der Bereitstellung von OCSP-Antworten verbundenen Ressourcenkosten, indem Sie eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ersten TLS-Handshake anhängen ("Heften"), sodass Clients die CA nicht mehr kontaktieren müssen .

Betonung hinzugefügt.

Die Richtlinie schaltet diesen "alternativen Ansatz" des OCSP-Heftens ein oder aus. Standardmäßig ist das OCSP-Heften nicht aktiviert. Sie können es mit aktivieren

ssl_stapling_verify   on;

6
OCSP Stapling wird von der Direktive "ssl_stapling" gesteuert und kann unabhängig von der OCSP Stapling Verification aktiviert werden. Wenn die Überprüfung deaktiviert ist, leitet der Server die von der Zertifizierungsstelle empfangene OCSP-Antwort einfach an den Client weiter, ohne eine Überprüfung durchzuführen. In Bezug auf die spezifischen durchgeführten Validierungen weiß ich es nicht genau. Dazu gehört auf jeden Fall die Überprüfung der Signatur der Antwort und der Gültigkeit des Zertifikats, mit dem sie signiert wurde.
EliaCereda
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.