ssl_stapling_verifyনির্দেশটি ঠিক কী করে ? উত্তরের স্বাক্ষরটি সঠিক কিনা তা যাচাই করে? সরকারী nginx ডকুমেন্টেশন এটি ব্যাখ্যা করতে খুব অস্পষ্ট:
https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify
সার্ভার দ্বারা ওসিএসপি প্রতিক্রিয়াগুলির যাচাইকরণ সক্ষম বা অক্ষম করে।
কাজের জন্য যাচাইকরণের জন্য, সার্ভার শংসাপত্র জারিকারীর শংসাপত্র, রুট শংসাপত্র এবং সমস্ত মধ্যবর্তী শংসাপত্রগুলি ssl_trusted_certificate ডিরেক্টরি ব্যবহার করে বিশ্বস্ত হিসাবে কনফিগার করা উচিত।
উত্তর:
আমি এনগিনেক্স স্যুস কোডে পেয়েছি। ngx_event_openssl_stapling.c ফাইলটি # L660 :
OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
তারপরে, আমি লিবারায় OCSP_basic_verify ফাংশনটি opensslপেয়েছি, এতে বলা হয়েছে:
এরপরে যদি পতাকাগুলিতে OCSP_NOVERIFY থাকে বা যদি স্বাক্ষরকারী শংসাপত্র শংসাপত্রগুলিতে পাওয়া যায় এবং পতাকাগুলিতে OCSP_TRUSTO इतर থাকে তবে ফাংশনটি ইতিমধ্যে সাফল্য ফিরিয়ে আনবে।
আরও কিছু এখানে রয়েছে: https://meto.cc/article/ what-exactly-did-ssl_stapling_verify-verify
উইকিপিডিয়া বলেছে , "ওসিএসপি স্ট্যাপলিং, আনুষ্ঠানিকভাবে টিএলএস শংসাপত্রের স্থিতির অনুরোধ এক্সটেনশন হিসাবে পরিচিত, এটি X.509 ডিজিটাল শংসাপত্রের প্রত্যাহার স্থিতি পরীক্ষা করার জন্য অনলাইন শংসাপত্রের স্ট্যাটাস প্রোটোকল (ওসিএসপি) এর বিকল্প পদ্ধতি। এটি শংসাপত্রের উপস্থাপককে অনুমতি দেয় প্রাথমিক ক্লাসিকদের সিএ-এর সাথে যোগাযোগের প্রয়োজনীয়তা হ্রাস করে "প্রাথমিকভাবে টিএলএস হ্যান্ডশেকের সাথে সিএ স্বাক্ষরিত একটি টাইম-স্ট্যাম্পড ওসিএসপি প্রতিক্রিয়া যুক্ত করে ওসিএসপি প্রতিক্রিয়া সরবরাহের সাথে জড়িত সম্পদ ব্যয় বহন করুন "।
সামনে জোর দাও.
নির্দেশটি ওসিএসপি স্ট্যাপলিংয়ের এই "বিকল্প পদ্ধতির" সক্রিয় বা বন্ধ করে দেয়। ডিফল্টরূপে, ওসিএসপি স্ট্যাপলিং সক্ষম নয়। আপনি এটি ব্যবহার করে সক্ষম করতে পারেন
ssl_stapling_verify on;