The `ssl_stapling_verify` 指令启用对 OCSP (Online Certificate Status Protocol) 响应的验证,用于 SSL/TLS 连接。 — NGINX HTTP Core
`ssl_stapling_verify` 指令对于确保证书的完整性和有效性至关重要,它使 NGINX 能够在 SSL 握手过程中验证从 OCSP 服务器收到的 OCSP 响应。启用该指令后,NGINX 会执行额外检查,确保 OCSP 响应确实有效且未被撤销。
server { ssl_certificate /path/to/certificate.crt; ssl_certificate_key /path/to/key.key; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8; # DNS resolution for OCSP server }
确保 resolver 已正确配置;否则,OCSP 检查可能会因无法解析 OCSP 服务器地址而失败。
如果 OCSP 服务器无法访问,客户端可能会因为用于验证的请求被阻塞而出现延迟或连接错误。