那些遇到过的问题

nginx: ssl_stapling_verify: 到底验证了什么?

Bra*_*bil 13 nginx ocsp

ssl_stapling_verify指令究竟是做什么的?它是否检查答案的签名是否正确?nginx 官方文档对此的解释非常模糊:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

启用或禁用服务器对 OCSP 响应的验证。

为了验证工作,服务器证书颁发者的证书、根证书和所有中间证书应该使用 ssl_trusted_certificate 指令配置为受信任。

小智 5

我在 Nginx 源代码中找到了。文件ngx_event_openssl_stapling.c#L660

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
Run Code Online (Sandbox Code Playgroud) 如果你配置 `ssl_stapling_verify` 值是 on,那么 `staple->verify` 将是 true,接下来函数 `OCSP_basic_verify` 将使用 `OCSP_TRUSTOTHER` 参数来验证。

然后,我在libaray 中找到了OCSP_basic_verify函数openssl,它说:

然后,如果标志包含 OCSP_NOVERIFY 或者签名者证书在 certs 中找到并且标志包含 OCSP_TRUSTOTHER,则该函数已经返回成功。

更多信息在这里:https : //meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

归档时间:

查看次数:

6257 次

最近记录:

6 年,2 月 前
相关归档
nginx 代理子域到其他地址和端口 11
nginx mime 类型和 gzip 10
nginx 不提供管理静态文件? 8
nginx - 为子目录指定不同的索引文件名 8
Nginx:无法构建 map_hash,你应该增加 map_hash_bucket_size: 64 8
NGINX不断向离线上游发送请求 6
如何使用 nginx 设置 phpmyadmin 并从 http://vps-ip/phpmyadmin 访问它 5
nginx 真的需要在其 AppArmor 策略中使用 dac_override 吗? 5
在同一个 nginx 服务器下定义两个监听(80 和 443)是否正确? 4
Kubernetes nginx-ingress 负载平衡器外部 IP 待处理 3
难疑归档
站点可用与站点启用与 conf.d 目录(Nginx)的区别? 157
如何让 apt-get 忽略某些依赖项? 118
我如何知道安装了哪个版本的 IIS? 110
如何修复 PuTTY 显示乱码? 92
FreeNAS 可靠吗? 70
为什么 CA 根证书都是 SHA-1 签名的(因为不推荐使用 SHA-1)? 69
每 4 小时运行一次 cron 的正确语法是什么? 69
你采取什么步骤来保护 Debian 服务器? 66
Vagrant、Docker、Chef 和 OpenStack(或类似产品)之间的关系? 57
如何防止“ps”报告自己的进程? 56