nginx: ssl_stapling_verify: Apa sebenarnya yang diverifikasi?

Apa sebenarnya ssl_stapling_verifyarahannya? Apakah ini memeriksa apakah tanda tangan jawaban sudah benar? Dokumentasi nginx resmi sangat kabur dalam menjelaskan ini:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Mengaktifkan atau menonaktifkan verifikasi respons OCSP oleh server.

Agar verifikasi berfungsi, sertifikat penerbit sertifikat server, sertifikat root, dan semua sertifikat perantara harus dikonfigurasi karena dipercaya menggunakan arahan ssl_trusted_certificate.

Saya menemukan dalam kode sumber Nginx. file ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

kemudian, saya menemukan OCSP_basic_verify fungsi dalam openssllibaray, katanya:

Kemudian fungsi sudah mengembalikan kesuksesan jika flag berisi OCSP_NOVERIFY atau jika sertifikat penandatangan ditemukan dalam sertifikat dan flag berisi OCSP_TRUSTOTHER.

lebih lanjut tentang di sini: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Wikipedia mengatakan , "stapel OCSP, yang secara resmi dikenal sebagai ekstensi Permintaan Status Sertifikat TLS, adalah pendekatan alternatif untuk Protokol Status Sertifikat Online (OCSP) untuk memeriksa status pencabutan sertifikat digital X.509. Ini memungkinkan presenter sertifikat untuk menanggung biaya sumber daya yang terlibat dalam menyediakan respons OCSP dengan menambahkan ("penjepretan") respons OCSP yang bertanda waktu yang ditandatangani oleh CA ke jabat tangan TLS awal, menghilangkan kebutuhan klien untuk menghubungi CA ".

Penekanan ditambahkan.

Arahan menghidupkan atau mematikan "pendekatan alternatif" OCSP ini. Secara default, stapel OCSP tidak diaktifkan. Anda dapat mengaktifkannya menggunakan

ssl_stapling_verify   on;