Что именно делает ssl_stapling_verifyдиректива? Проверяет ли правильность подписи ответа? Официальная документация nginx объясняет это очень расплывчато:
https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify
Включает или отключает проверку ответов OCSP сервером.
Чтобы проверка работала, сертификат поставщика сертификата сервера, корневой сертификат и все промежуточные сертификаты должны быть настроены как доверенные с помощью директивы ssl_trusted_certificate.
Я нашел в коде Nginx souce. файл ngx_event_openssl_stapling.c # L660 :
OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
затем я нашел функцию OCSP_basic_verify в openssllibaray, в которой сказано:
Тогда функция уже возвращает успех, если флаги содержат OCSP_NOVERIFY или если сертификат сертификата был найден в сертификатах, а флаги содержат OCSP_TRUSTOTHER.
больше о здесь: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify
Википедия говорит : «Сшивание OCSP, формально известное как расширение запроса статуса сертификата TLS, является альтернативным подходом к онлайн-протоколу статуса сертификата (OCSP) для проверки статуса аннулирования цифровых сертификатов X.509. Он позволяет предъявителю сертификата нести стоимость ресурсов, связанных с предоставлением ответов OCSP, добавляя («сшивая») ответ OCSP с меткой времени, подписанный СА, к первоначальному рукопожатию TLS, устраняя необходимость для клиентов обращаться в СА ».
Акцент добавлен.
Директива включает или выключает этот «альтернативный подход» сшивания OCSP. По умолчанию сшивание OCSP не включено. Вы можете включить его, используя
ssl_stapling_verify on;