nginx: ssl_stapling_verify: Was genau wird überprüft?

Was genau macht die ssl_stapling_verifyRichtlinie? Überprüft es, ob die Unterschrift der Antwort korrekt ist? Die offizielle Nginx-Dokumentation erklärt dies sehr vage:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Aktiviert oder deaktiviert die Überprüfung von OCSP-Antworten durch den Server.

Damit die Überprüfung funktioniert, sollten das Zertifikat des Ausstellers des Serverzertifikats, das Stammzertifikat und alle Zwischenzertifikate mithilfe der Anweisung ssl_trusted_certificate als vertrauenswürdig konfiguriert werden.

Ich habe in Nginx Quellcode gefunden. die Datei ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

dann fand ich die OCSP_basic_verify Funktion in openssl, libaray es:

Dann gibt die Funktion bereits Erfolg zurück, wenn die Flags OCSP_NOVERIFY enthalten oder wenn das Unterzeichnerzertifikat in Zertifikaten gefunden wurde und die Flags OCSP_TRUSTOTHER enthalten.

Mehr dazu finden Sie hier: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Wikipedia sagt : "OCSP-Heften, formal bekannt als TLS Certificate Status Request-Erweiterung, ist ein alternativer Ansatz zum Online Certificate Status Protocol (OCSP) zur Überprüfung des Sperrstatus von digitalen X.509-Zertifikaten. Es ermöglicht dem Präsentator eines Zertifikats, dies zu tun." Tragen Sie die mit der Bereitstellung von OCSP-Antworten verbundenen Ressourcenkosten, indem Sie eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ersten TLS-Handshake anhängen ("Heften"), sodass Clients die CA nicht mehr kontaktieren müssen .

Betonung hinzugefügt.

Die Richtlinie schaltet diesen "alternativen Ansatz" des OCSP-Heftens ein oder aus. Standardmäßig ist das OCSP-Heften nicht aktiviert. Sie können es mit aktivieren

ssl_stapling_verify   on;