nginx: ssl_stapling_verify: ঠিক কী যাচাই করা হচ্ছে?


11

ssl_stapling_verifyনির্দেশটি ঠিক কী করে ? উত্তরের স্বাক্ষরটি সঠিক কিনা তা যাচাই করে? সরকারী nginx ডকুমেন্টেশন এটি ব্যাখ্যা করতে খুব অস্পষ্ট:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

সার্ভার দ্বারা ওসিএসপি প্রতিক্রিয়াগুলির যাচাইকরণ সক্ষম বা অক্ষম করে।

কাজের জন্য যাচাইকরণের জন্য, সার্ভার শংসাপত্র জারিকারীর শংসাপত্র, রুট শংসাপত্র এবং সমস্ত মধ্যবর্তী শংসাপত্রগুলি ssl_trusted_certificate ডিরেক্টরি ব্যবহার করে বিশ্বস্ত হিসাবে কনফিগার করা উচিত।

উত্তর:


4

আমি এনগিনেক্স স্যুস কোডে পেয়েছি। ngx_event_openssl_stapling.c ফাইলটি # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY
যদি আপনি কনফিগার করে s ssl_stapling_verify` মান চালু থাকে, তবে `স্ট্যাপল-> যাচাই` সত্য হবে, পরবর্তী ফাংশনটি `OCSP_basic_verify_ যাচাই করতে` OCSP_TRUSTOTHER THER পরম ব্যবহার করবে।

তারপরে, আমি লিবারায় OCSP_basic_verify ফাংশনটি opensslপেয়েছি, এতে বলা হয়েছে:

এরপরে যদি পতাকাগুলিতে OCSP_NOVERIFY থাকে বা যদি স্বাক্ষরকারী শংসাপত্র শংসাপত্রগুলিতে পাওয়া যায় এবং পতাকাগুলিতে OCSP_TRUSTO इतर থাকে তবে ফাংশনটি ইতিমধ্যে সাফল্য ফিরিয়ে আনবে।

আরও কিছু এখানে রয়েছে: https://meto.cc/article/ what-exactly-did-ssl_stapling_verify-verify


1

উইকিপিডিয়া বলেছে , "ওসিএসপি স্ট্যাপলিং, আনুষ্ঠানিকভাবে টিএলএস শংসাপত্রের স্থিতির অনুরোধ এক্সটেনশন হিসাবে পরিচিত, এটি X.509 ডিজিটাল শংসাপত্রের প্রত্যাহার স্থিতি পরীক্ষা করার জন্য অনলাইন শংসাপত্রের স্ট্যাটাস প্রোটোকল (ওসিএসপি) এর বিকল্প পদ্ধতি। এটি শংসাপত্রের উপস্থাপককে অনুমতি দেয় প্রাথমিক ক্লাসিকদের সিএ-এর সাথে যোগাযোগের প্রয়োজনীয়তা হ্রাস করে "প্রাথমিকভাবে টিএলএস হ্যান্ডশেকের সাথে সিএ স্বাক্ষরিত একটি টাইম-স্ট্যাম্পড ওসিএসপি প্রতিক্রিয়া যুক্ত করে ওসিএসপি প্রতিক্রিয়া সরবরাহের সাথে জড়িত সম্পদ ব্যয় বহন করুন "।

সামনে জোর দাও.

নির্দেশটি ওসিএসপি স্ট্যাপলিংয়ের এই "বিকল্প পদ্ধতির" সক্রিয় বা বন্ধ করে দেয়। ডিফল্টরূপে, ওসিএসপি স্ট্যাপলিং সক্ষম নয়। আপনি এটি ব্যবহার করে সক্ষম করতে পারেন

ssl_stapling_verify   on;

6
ওসিএসপি স্ট্যাপলিং "ssl_stapling" নির্দেশিকা দ্বারা নিয়ন্ত্রিত হয় এবং ওসিএসপি স্ট্যাপলিং যাচাইকরণের মাধ্যমে স্বাধীনভাবে সক্ষম করা যায় enabled যদি যাচাইকরণ অক্ষম করা থাকে তবে কোনও বৈধতা না নিয়ে সার্ভারটি সিএ থেকে প্রাপ্ত ওসিএসপি প্রতিক্রিয়াটিকে কেবল ক্লায়েন্টের কাছে ফরোয়ার্ড করে। সম্পাদিত নির্দিষ্ট বৈধতা সম্পর্কিত, আমি নিশ্চিত জানি না। এটিতে অবশ্যই প্রতিক্রিয়ার স্বাক্ষর এবং স্বাক্ষর করতে ব্যবহৃত শংসাপত্রের বৈধতা পরীক্ষা করা অন্তর্ভুক্ত রয়েছে।
এলিয়াকারডে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.