Protocole d'état de certificat en ligne (OCSP) et Port 80
J'avais utilisé l'agrafage OCSP à AWS dans le passé, en raison de changements sur AWS, ils ne le permettent plus. Cela a permis d'ouvrir une règle de pare-feu pour permettre au trafic HTTP sortant pour OCSP des périphériques clients.
Pour nous ouvrir le port 80 n'est pas autorisé sur un réseau sécurisé qu'un périphérique est assisté et certaines personnes ont soulevé la préoccupation que l'envoi de données sur HTTP à ClearText quitte la manipulation MITM sur la route vers le serveur OCSP.
Lorsque j'ai lu les informations sur le protocole d'état de certificat en ligne, il parle d'utiliser HTTP mais je ne peux pas voir où il est spécifiquement indiqué que cela doit être le port 80.
Toute personne a eu une expérience d'utilisation d'OCSP et n'utilise pas le port 80 ou n'avait aucune préoccupation de sécurité concernant l'ouverture de ces ports à ce trafic.
OCSP n'est pas avoir à être sur le port 80. Cependant, l'URL du service OCSP est spécifiée dans les certificats dont la validité que vous vérifiez; Si vous souhaitez l'exécuter sur un autre port, vous devez vous assurer que les certificats contiennent la spécification de port appropriée.
La raison pour laquelle OCSP peut être exécutée sur http 80, plutôt que https, est que les réponses OCSP sont déjà signées par le serveur OCSP. Le client OCSP validera que la signature est autorisée à signer les réponses OCSP pour l'autorité de certification qui a émis le certificat de contrôle; Toute MITM ferait l'échec de la validation - l'ajout d'une couche supplémentaire de cryptage/authentification n'augmente pas la sécurité, mais ajoute-t-elle une complexité et augmente les modes de défaillance possibles.
Comme indiqué dans un commentaire, Courir OCSP sur HTTP a l'inconvénient que cela est potentiellement possible pour un attaquant d'intercepter le trafic réseau et de voir quels certificats vous vérifiez. Cependant, ils ne sont toujours pas en mesure de changer le contenu de la réponse.