Раньше я использовал сшивание OCSP в AWS, из-за изменений в AWS, которые больше не позволяют этого. Это привело к необходимости открыть правило брандмауэра, чтобы разрешить исходящий HTTP-трафик для OCSP с клиентских устройств.
Для нас открытие порта 80 не разрешено в защищенной сети, в которой находится устройство, и некоторые люди выразили обеспокоенность тем, что отправка данных по HTTP в открытом виде оставляет его открытым для манипуляций MiTM на пути к серверу OCSP.
Когда я читаю информацию об онлайн-протоколе статуса сертификата, он говорит об использовании HTTP, но я не вижу, где конкретно указано, что это должен быть порт 80.
Любой человек имел опыт использования OCSP и не использовал порт 80 или имел какие-либо проблемы с безопасностью при открытии таких портов для этого трафика.
OCSP не иметь быть на порту 80. Однако URL-адрес службы OCSP указан в сертификатах, действительность которых вы проверяете; если вы хотите запустить его на другом порту, вам необходимо убедиться, что сертификаты содержат правильную спецификацию порта.
Причина, по которой OCSP может работать на HTTP 80, а не на HTTPS, заключается в том, что ответы OCSP уже подписаны сервером OCSP. Клиент OCSP проверит, что подпись авторизована для подписи ответов OCSP для ЦС, выпустившего проверяемый сертификат; любой MITM приведет к сбою этой проверки, поэтому добавление дополнительного уровня шифрования / аутентификации не повышает безопасность, но добавляет сложности и увеличивает возможные режимы сбоя.
Как указано в комментарии, запуск OCSP через HTTP имеет недостаток, заключающийся в том, что злоумышленник потенциально может перехватить сетевой трафик и посмотреть, какие сертификаты вы проверяете. Однако они по-прежнему не могут изменить содержимое ответа.