过去,我曾在AWS中使用OCSP装订,但由于AWS的更改,他们不再允许这样做。 这导致必须打开防火墙规则以允许来自客户端设备的出站HTTP通信用于OCSP。
对于我们来说,打开端口80是不允许通过设备所在的安全networking的,而且有些人担心通过HTTP以明文方式发送数据会使其在到达OCSP服务器的path上进行MiTM操作。
当我读到关于在线证书状态协议的信息时,会谈到使用HTTP,但我无法看到它在哪里明确指出它必须是80端口。
任何人都有使用OCSP的经验,不使用端口80或有任何安全问题打开这种stream量的端口。
OCSP不必位于端口80上。但是,OCSP服务的URL在您检查其有效性的证书中指定; 如果要在另一个端口上运行它,则需要确保证书包含正确的端口规范。
OCSP可以在HTTP 80而不是HTTPS上运行的原因是OCSP响应已经由OCSP服务器签名。 OCSP客户端将validation该签名是否被授权签署已经签发了正在检查的证书的CA的OCSP响应; 任何MITM都会使validation失败 – 所以增加额外的encryption/authentication层不会增加安全性,但会增加复杂性并增加可能的失败模式。