nginx: ssl_stapling_verify: O que exatamente está sendo verificado?

O que exatamente faz a ssl_stapling_verifydiretiva? Verifica se a assinatura da resposta está correta? A documentação oficial do nginx é muito vaga para explicar isso:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Habilita ou desabilita a verificação das respostas do OCSP pelo servidor.

Para que a verificação funcione, o certificado do emissor do certificado do servidor, o certificado raiz e todos os certificados intermediários devem ser configurados como confiáveis ​​usando a diretiva ssl_trusted_certificate.

Eu encontrei no código de fonte Nginx. o arquivo ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

então, eu encontrei o OCSP_basic_verify função em openssllibaray, ele disse:

A função já retornará êxito se os sinalizadores contiverem OCSP_NOVERIFY ou se o certificado de assinante foi encontrado em certs e os sinalizadores contiverem OCSP_TRUSTOTHER.

o mais sobre está aqui: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

A Wikipedia diz que "o grampeamento OCSP, formalmente conhecido como extensão de solicitação de status de certificado TLS, é uma abordagem alternativa ao OCSP (Online Certificate Status Protocol) para verificar o status de revogação dos certificados digitais X.509. Ele permite que o apresentador de um certificado arcar com o custo do recurso envolvido no fornecimento de respostas OCSP anexando ("grampeando") uma resposta OCSP com carimbo de data e hora assinada pela CA ao handshake TLS inicial, eliminando a necessidade de os clientes entrarem em contato com a CA ".

Enfase adicionada.

A diretiva ativa ou desativa essa "abordagem alternativa" do grampeamento OCSP. Por padrão, o grampeamento OCSP não está ativado. Você pode habilitá-lo usando

ssl_stapling_verify   on;