为了在 OSX 中监控我的网络流量,我使用了 Metakine 的防火墙 HandsOff!。我注意到,在检查更新的证书时,Thunderbird 仅在端口 80 (http) 上连接。
这是正常的吗?
我已经使用 Thunderbird 好几天了,在检查证书时它从来没有选择在端口 443(https)上建立安全连接。
答案1
如您的屏幕截图所示,Thunderbird 创建连接以检索 CRL 并使用 OCSP 验证证书状态。在这两种情况下,SSL 都不是确保安全性所必需的,因为 X.509 撤销列表和 OSCP 响应始终由同一 CA 签名。
答案2
从某种程度上来说,这是一个先有鸡还是先有蛋的问题。如果浏览器想要通过 SSL 连接验证证书,那么它还必须验证 SSL 连接的证书,但它如何验证该 SSL 连接的证书呢?
所以如果我去https://addons.mozilla.org然后我需要使用以下方法验证证书OCSP,所以我连接到证书中定义的 OCSP 服务器。如果我尝试使用 HTTPS 连接到 OCSP 服务器,那么我需要验证 OCSP 服务器的证书,但我该去哪里验证呢?
正如 @grawity 提到的,不需要加密来保持证书验证的清晰,因为用于证书的 PKI 已经可以防止任何问题。