オンライン証明書ステータスプロトコル(OCSP)およびポート80
私は過去にAWSでOCSPステープルを使用していましたが、AWSでの変更により、これは許可されなくなりました。これにより、クライアントデバイスからのOCSPのアウトバウンドHTTPトラフィックを許可するファイアウォールルールを開く必要が生じました。
私たちにとって、ポート80を開くことは、デバイスが置かれている安全なネットワーク全体では許可されていません。一部の人々は、HTTPを介してクリアテキストでデータを送信すると、OCSPサーバーへのルートでMiTM操作が可能になるという懸念を提起しました。
オンライン証明書ステータスプロトコルに関する情報を読むと、HTTPの使用について説明されていますが、ポート80である必要があると明確に記述されている場所がわかりません。
誰もがOCSPを使用し、ポート80を使用していない経験があり、このトラフィックに対してこのようなポートを開くことについてセキュリティ上の懸念がありました。
OCSPはhaveをポート80に設定しません。ただし、OCSPサービスのURLは、有効性を確認している証明書で指定されています。別のポートで実行する場合は、証明書に適切なポート指定が含まれていることを確認する必要があります。
OCSPをHTTPSではなくHTTP 80で実行できるのは、OCSP応答がOCSPサーバーによってすでに署名されているためです。 OCSPクライアントは、チェックする証明書を発行したCAのOCSP応答に署名する権限が署名にあることを検証します。どんなMITMでもその検証は失敗します。したがって、暗号化/認証の層を追加してもセキュリティは向上しませんが、複雑さが増し、考えられる失敗モードが増加します。
コメントで指摘されているように、OCSP over HTTPを実行すると、攻撃者がネットワークトラフィックを傍受して、チェックしている証明書を確認できる可能性があるという欠点があります。ただし、応答の内容を変更することはできません。