Верификация сертификатов проксируемых серверов

[justej]

Доброго времени суток.

Мы используем NGINX в качестве прокси к чужим серверам. Одно из требований -
верификация сертификатов проксируемых серверов. В документации не указано,
что именно проверяется директивой proxy_ssl_verify, однако я подозреваю, что
проверяются:
- имя домен
- начальная и конечная даты действия сертификата
- trust chain

Правильно ли я понимаю?
Как при этом можно проверить, был ли сертификат отозван? Проверка при помощи
proxy_ssl_crl не подходит, поскольку требуется отслеживать CRL Distribution
Point всех встречаемых сертификатов (а их может быть огромное количество) и
постоянно обновлять CRL файл. Есть ли возможность динамически проверить
отзыв серверного сертификата, например, по OCSP?

Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276077,276077#msg-276077