ssl_stapling_verify指令到底是什么? 是否检查答案的签名是否正确? 官方的nginx文档在解释这个时非常模糊:
https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify
启用或禁用服务器validationOCSP响应。
要使validation生效,应使用ssl_trusted_certificate指令将服务器证书颁发者,根证书和所有中间证书的证书configuration为可信。
维基百科说 ,“OCSP装订,正式被称为TLS证书状态请求扩展,是在线证书状态协议(OCSP)的替代方法,用于检查X.509数字证书的撤销状态,它允许证书颁发者通过附加(“装订”)由CA签署的带有时间戳的OCSP响应到最初的TLS握手来承担提供OCSP响应的资源成本,从而消除客户与CA联系的需要 。
重点补充。
该指令打开或closuresOCSP装订的“替代方法”。 默认情况下,OCSP装订未启用。 你可以使用它来启用它
ssl_stapling_verify on;