ssl_stapling_verify
Директива `ssl_stapling_verify` включает проверку ответов OCSP (протокола онлайн-проверки статуса сертификата) для SSL/TLS-соединений. — NGINX HTTP Core
Описание
Директива `ssl_stapling_verify` имеет решающее значение для обеспечения целостности и действительности SSL-сертификатов, поскольку позволяет NGINX проверять ответы OCSP, получаемые от OCSP-сервера в ходе SSL-рукопожатия. При включении эта директива заставляет NGINX выполнить дополнительную проверку, которая гарантирует, что ответы OCSP действительно действительны и не были отозваны.
Пример конфига
server {
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/key.key;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8; # DNS resolution for OCSP server
}Убедитесь, что резолвер правильно настроен; в противном случае проверки OCSP могут завершаться с ошибкой из-за невозможности разрешить адрес сервера OCSP.
Если сервер OCSP недоступен, клиенты могут столкнуться с задержками или ошибками соединения из-за блокировки запросов на проверку.