¿Qué tipo de ataque realiza ssl_stapling? Protegerse contra en NGINX

El grapado SSL significa que la información de revocación sobre el certificado del servidor (es decir, la respuesta OCSP) se incluye en el protocolo de enlace TLS junto con el certificado del servidor. Actualmente se trata más bien de una optimización del tráfico en el sentido de que no se necesita una solicitud OCSP adicional (lo que los navegadores normalmente no hacen de todos modos).

Será una característica de seguridad si el navegador insiste en grapar la respuesta de OCSP. En este caso, evitará que algunos MITM utilicen un certificado revocado para el dominio con el fin de secuestrar el tráfico y simplemente bloquear la solicitud/respuesta de OCSP. Los navegadores a menudo simplemente se dan por vencidos si falla la consulta OCSP y, por lo tanto, este ataque puede funcionar. Pero nuevamente, la mayoría de los navegadores ya no usan OCSP en absoluto, sino que usan un mecanismo alternativo (e incluso menos confiable).¿Cómo manejan los navegadores los certificados SSL/TLS revocados?.

El requisito de utilizar el grapado OCSP podría ser una propiedad del propio certificado (extensión OCSP-must-staple), es decir, podría provocar un error si tiene dicho certificado pero no grapó la respuesta OCSP.

Los certificados tienen listas CRL que muestran que han sido revocados. grapar es una forma alternativa de hacer esto. Si habilita esto, creo que el emisor de su certificado también debe admitir esta función. Adjunté un enlace a continuación que explica cómo configurarlo en nginx.

https://www.digicert.com/kb/ssl-support/nginx-enable-ocsp-stapling-on-server.htm

Por lo que he leído hasta ahora, no parece que el grapado impida MITM. Simplemente cambia la forma en que se verifica si un certificado es válido y no está vencido ni revocado.

https://www.digicert.com/kb/enabling-ocsp-stapling.htm