我过去在 AWS 中使用过 OCSP 装订,由于 AWS 上的更改,它们不再允许这样做。这导致必须打开防火墙规则以允许来自客户端设备的 OCSP 的出站 HTTP 流量。
对我们来说,不允许在设备所在的安全网络上打开端口 80,并且一些人提出了这样的担忧,即通过 HTTP 以明文形式发送数据会使其在通往 OCSP 服务器的路由上受到 MiTM 操纵。
当我阅读有关在线证书状态协议的信息时,它谈到了使用 HTTP,但我看不到它具体说明它必须是端口 80 的位置。
任何人都有使用 OCSP 而没有使用端口 80 的经验,或者对向此流量开放此类端口有任何安全问题。