nginx: ssl_stapling_verify: Qu'est-ce qui est vérifié exactement?

Que signifie exactement la ssl_stapling_verifydirective? Vérifie-t-il si la signature de la réponse est correcte? La documentation officielle de nginx est très vague pour expliquer ceci:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Active ou désactive la vérification des réponses OCSP par le serveur.

Pour que la vérification fonctionne, le certificat de l'émetteur du certificat du serveur, le certificat racine et tous les certificats intermédiaires doivent être configurés comme approuvés à l'aide de la directive ssl_trusted_certificate.

J'ai trouvé dans le code souce Nginx. le fichier ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

puis, j'ai trouvé la OCSP_basic_verify fonction openssllibaray, il a dit:

Ensuite, la fonction renvoie déjà le succès si les indicateurs contiennent OCSP_NOVERIFY ou si le certificat de signataire a été trouvé dans les certificats et que les indicateurs contiennent OCSP_TRUSTOTHER.

en savoir plus est ici: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Wikipédia dit : "L'agrafage OCSP, officiellement connu sous le nom d'extension de demande d'état de certificat TLS, est une approche alternative au protocole OCSP (Online Certificate Status Protocol) pour vérifier l'état de révocation des certificats numériques X.509. Il permet au présentateur d'un certificat de assumer le coût des ressources nécessaires pour fournir des réponses OCSP en ajoutant ("agrafage") une réponse OCSP horodatée signée par l'autorité de certification à la prise de contact TLS initiale, éliminant ainsi la nécessité pour les clients de contacter l'autorité de certification ".

Je souligne.

La directive active ou désactive cette "approche alternative" d'agrafage OCSP. Par défaut, l'agrafage OCSP n'est pas activé. Vous pouvez l'activer en utilisant

ssl_stapling_verify   on;