Protocolo de status de certificado on-line (OCSP) e porta 80

2

Eu tinha usado o grampeamento de OCSP na AWS no passado, devido a alterações na AWS, eles não permitem mais isso. Isso resultou na necessidade de abrir uma regra de firewall para permitir o tráfego HTTP de saída do OCSP de dispositivos clientes.

Para nós, a abertura da porta 80 não é permitida em uma rede segura em que um dispositivo se encaixa e algumas pessoas levantaram a preocupação de que o envio de dados via HTTP em texto aberto o deixa aberto para manipulação MiTM em rota para o servidor OCSP.

Quando leio as informações sobre o Online Certificate Status Protocol, ele fala sobre o uso de HTTP, mas não consigo ver onde ele especificamente afirma que deve ser a porta 80.

Alguém tem experiência em usar o OCSP e não usar a porta 80 ou teve alguma preocupação com a segurança de abrir essas portas para esse tráfego.

    
por Lismore 07.08.2017 / 16:54

1 resposta

4

OCSP não tem para estar na porta 80. No entanto, o URL para o serviço OCSP é especificado nos certificados cuja validade você está verificando; se você quiser executá-lo em outra porta, é necessário certificar-se de que os certificados contenham a especificação de porta adequada.

A razão pela qual o OCSP pode ser executado no HTTP 80, em vez de HTTPS, é que as respostas do OCSP já estão assinadas pelo servidor OCSP. O cliente OCSP validará que a assinatura está autorizada a assinar respostas OCSP para a CA que emitiu o certificado que está verificando; qualquer MITM faria essa validação falhar - então, adicionar uma camada extra de criptografia / autenticação não aumenta a segurança, mas aumenta a complexidade e aumenta os possíveis modos de falha.

Como apontado em um comentário, a execução do OCSP sobre HTTP tem a desvantagem de ser possível que um invasor intercepte o tráfego da rede e veja quais certificados você está verificando. No entanto, eles ainda não conseguem alterar o conteúdo da resposta.

    
por 07.08.2017 / 17:30

Tags