É possível permitir solicitações OCSP usando, por exemplo, o iptables ou o Squid? Estou fazendo uma experiência em que rejeito solicitações HTTP de saída inseguras , mas O OCSP é, obviamente, uma exceção válida desde a resposta é validada pelo navegador . Ou há pelo menos alguma maneira de identificar as solicitações HTTP OCSP de forma única, de modo a escrever um filtro personalizado para ela?
Alternativamente, existe uma lista oficial de IPs / sub-redes que são usadas para o OCSP? Isso parece promissor, já que o autor está forçando o HTTPS de uma maneira diferente, mas não há garantias de que ele seja mantido.
Isso provavelmente está além de iptables ; você está pedindo para filtrar na camada de aplicação que é bastante complexa. Eu acho que você vai ter que olhar em squid emparelhado com iptables que força todos http a passar por isso.
Editar : Por favor, veja histórico de perguntas antes do downvoting; a pergunta original foi atualizada com o conteúdo desta resposta.
Tags proxy iptables squid http arch-linux