nginx: ssl_stapling_verify: 到底在驗證什麼？

ssl_stapling_verify該指令究竟是什麼？它是否檢查答案的簽名是否正確？官方的 nginx 文件在解釋這一點時非常含糊：

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

啟用或禁用伺服器對 OCSP 響應的驗證。

為了使驗證工作，伺服器證書頒發者的證書、根證書和所有中間證書應使用 ssl_trusted_certificate 指令配置為受信任的。

我在 Nginx 原始碼中找到了。文件ngx_event_openssl_stapling.c#L660：

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

如果您配置 ssl_stapling_verify 的值為 on，則 staple->verify 將為真，接下來的功能 OCSP_basic_verify 將使用 OCSP_TRUSTOTHER 參數進行驗證。

然後，我在 libaray 中找到了OCSP_basic_verify函式openssl，它說：

然後，如果標誌包含 OCSP_NOVERIFY 或者如果在 certs 中找到簽名者證書並且標誌包含 OCSP_TRUSTOTHER，則該函式已經返回成功。

更多資訊在這裡：https ://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

引用自：https://serverfault.com/questions/846901