nginx: ssl_stapling_verify: ¿Qué se está verificando exactamente?

¿Qué hace exactamente la ssl_stapling_verifydirectiva? ¿Comprueba si la firma de la respuesta es correcta? La documentación oficial de nginx es muy vaga al explicar esto:

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify

Habilita o deshabilita la verificación de respuestas OCSP por parte del servidor.

Para que la verificación funcione, el certificado del emisor del certificado del servidor, el certificado raíz y todos los certificados intermedios deben configurarse como confiables utilizando la directiva ssl_trusted_certificate.

Encontré en Nginx código fuente. el archivo ngx_event_openssl_stapling.c # L660 :

OCSP_basic_verify(basic, chain, store,staple->verify ? OCSP_TRUSTOTHER :OCSP_NOVERIFY

entonces, he encontrado el OCSP_basic_verify función en openssllibaray, que dijo:

Entonces la función ya devuelve el éxito si los indicadores contienen OCSP_NOVERIFY o si el certificado de firmante se encontró en certs y los indicadores contienen OCSP_TRUSTOTHER.

Más información está aquí: https://meto.cc/article/what-exactly-did-ssl_stapling_verify-verify

Wikipedia dice : "El engrapado OCSP, conocido formalmente como la extensión de Solicitud de estado de certificado TLS, es un enfoque alternativo al Protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados digitales X.509. Permite al presentador de un certificado asumir el costo de los recursos involucrados en proporcionar respuestas OCSP al agregar ("grapar") una respuesta OCSP con sello de tiempo firmada por la CA al apretón de manos inicial de TLS, eliminando la necesidad de que los clientes contacten a la CA ".

Énfasis añadido.

La directiva activa o desactiva este "enfoque alternativo" de grapado OCSP. De forma predeterminada, el grapado OCSP no está habilitado. Puedes habilitarlo usando

ssl_stapling_verify   on;