Ocsp

線上證書狀態協議 (OCSP) 和埠 80

  • June 26, 2018

我過去在 AWS 中使用過 OCSP 裝訂,由於 AWS 上的更改,它們不再允許這樣做。這導致必須打開防火牆規則以允許來自客戶端設備的 OCSP 的出站 HTTP 流量。

對於我們來說,不允許在設備所在的安全網路上打開埠 80,並且一些人提出了這樣的擔憂,即通過 HTTP 以明文形式發送數據會使其在通往 OCSP 伺服器的路由上受到 MiTM 操縱。

當我閱讀有關線上證書狀態協議的資訊時,它談到了使用 HTTP,但我看不到它具體說明它必須是埠 80 的位置。

任何人都有使用 OCSP 而沒有使用埠 80 的經驗,或者對向此流量開放此類埠有任何安全問題。

OCSP 不必位於埠 80。但是,OCSP 服務的 URL您正在檢查其有效性的證書中指定;如果您想在另一個埠上執行它,您需要確保證書包含正確的埠規範。

OCSP 可以在 HTTP 80 而不是 HTTPS 上執行的原因是 OCSP 響應已經由 OCSP 伺服器簽名。OCSP 客戶端將驗證簽名是否被授權為已頒發它正在檢查的證書的 CA 簽署 OCSP 響應;任何 MITM 都會使驗證失敗 - 因此添加額外的加密/身份驗證層不會增加安全性,但會增加複雜性並增加可能的故障模式。

正如評論中指出的那樣,通過 HTTP 執行 OCSP 確實有一個缺點,即攻擊者有可能攔截網路流量並查看您正在檢查的證書。但是,他們仍然無法更改響應的內容。

引用自:https://serverfault.com/questions/867307