是否可以使用 iptables 或 Squid 等来允许 OCSP 请求?我正在做一个实验拒绝不安全的传出 HTTP 请求,但 OCSP 当然是一个有效的例外,因为响应由浏览器验证。或者至少有某种方法可以唯一地识别 OCSP HTTP 请求,以便为其编写自定义过滤器?
或者,是否有用于 OCSP 的 IP/子网的官方列表?这看起来很有希望,因为作者强制使用 HTTPS以不同的方式,但不能保证它得到维护。
答案1
这是大概超过iptables;您要求在应用程序层进行过滤,这非常复杂。我认为你必须考虑squid配对,iptables迫使所有人都http经历它。
编辑: 请参见问题历史在投反对票之前;原来的问题已经用这个答案的内容更新了。