我过去曾在 AWS 中使用过 OCSP 装订,但由于 AWS 的变更,他们不再允许这样做。这导致必须打开防火墙规则以允许来自客户端设备的 OCSP 出站 HTTP 流量。
对于我们来说,在设备所在的安全网络上打开端口 80 是不允许的,并且有些人担心通过 HTTP 以明文形式发送数据会使数据在到 OCSP 服务器的路径上容易受到 MiTM 操纵。
当我阅读有关在线证书状态协议的信息时,它谈到使用 HTTP,但我看不到它在哪里明确指出必须是端口 80。
有没有人有使用 OCSP 而不使用端口 80 的经验,或者对向此类流量开放此类端口有任何安全方面的担忧。
答案1
OCSP 不支持有在端口 80 上。但是,OCSP 服务的 URL 在您正在检查其有效性的证书中指定;如果您想在另一个端口上运行它,您需要确保证书包含正确的端口规范。
OCSP 可以在 HTTP 80 而不是 HTTPS 上运行,原因是 OCSP 响应已由 OCSP 服务器签名。OCSP 客户端将验证签名是否有权为颁发其正在检查的证书的 CA 签署 OCSP 响应;任何 MITM 都会导致该验证失败 - 因此添加额外的加密/身份验证层不会提高安全性,但会增加复杂性并增加可能的故障模式。
正如评论中指出的那样,通过 HTTP 运行 OCSP 确实存在缺点,即攻击者可能会拦截网络流量并查看您正在检查的证书。但是,他们仍然无法更改响应的内容。