我过去在 AWS 中使用过 OCSP 装订,由于 AWS 上的更改,它们不再允许这样做。这导致必须打开防火墙规则以允许来自客户端设备的 OCSP 的出站 HTTP 流量。
对我们来说,不允许在设备所在的安全网络上打开端口 80,并且一些人提出了这样的担忧,即通过 HTTP 以明文形式发送数据会使其在通往 OCSP 服务器的路由上受到 MiTM 操纵。
当我阅读有关在线证书状态协议的信息时,它谈到了使用 HTTP,但我看不到它具体说明它必须是端口 80 的位置。
任何人都有使用 OCSP 而没有使用端口 80 的经验,或者对向此流量开放此类端口有任何安全问题。
OCSP 不必位于端口 80。但是,OCSP 服务的 URL在您正在检查其有效性的证书中指定;如果您想在另一个端口上运行它,您需要确保证书包含正确的端口规范。
OCSP 可以在 HTTP 80 而不是 HTTPS 上运行的原因是 OCSP 响应已经由 OCSP 服务器签名。OCSP 客户端将验证签名是否被授权为已颁发它正在检查的证书的 CA 签署 OCSP 响应;任何 MITM 都会使验证失败 - 因此添加额外的加密/身份验证层不会增加安全性,但会增加复杂性并增加可能的故障模式。
正如评论中指出的那样,通过 HTTP 运行 OCSP 确实有一个缺点,即攻击者有可能拦截网络流量并查看您正在检查的证书。但是,他们仍然无法更改响应的内容。