Utilizzo di certificati esterni su una rete che non consente l'accesso HTTP / S in uscita

Revoca. OCSP e CRL sono alquanto irrilevanti al giorno d'oggi. Sono non molto efficaci per la sicurezza . E se non riesci a raggiungere l'autorità di revoca, nessun problema, il browser ignora felicemente l'errore di rete e procede come se i certificati non sono corretti . Quindi l'impossibilità di creare connessioni in uscita per OCSP o CRL non dovrebbe rappresentare un problema.

Aggiornamenti. Il grande è il download degli aggiornamenti (ad es. aggiornamenti software, aggiornamenti A / V). Penso che potresti voler aggiungere una whitelist al firewall delle connessioni in uscita consentite, in modo che le macchine possano ancora ottenere i loro aggiornamenti di sicurezza.

Per gli aggiornamenti di Windows, penso che tu voglia consentire l'accesso alle porte TCP 80 e 443 sui seguenti domini:

*.download.windowsupdate.com
*.windowsupdate.com
download.microsoft.com
ntservicepack.microsoft.com
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
wustat.windows.com
update.microsoft.com
*.update.microsoft.com
test.stats.update.microsoft.com

Vedi anche Regola del firewall per consentire l'accesso agli aggiornamenti di Windows o ad altre risorse su un CDN? .

I messaggi OCSP sono codificati in ASN.1 e di solito sono accessibili tramite HTTP. Se si sta stabilendo una connessione a un host remoto, non dovrebbe mai esserci un problema nell'accesso a OCSP. Come regola generale se hai bisogno di un PKI allora hai bisogno di OCSP.

Da una nota a margine, la PKI non è sempre lo strumento migliore per il lavoro. Spesso la confezione di un'applicazione con la chiave pubblica per verificare un nuovo aggiornamento o altre forme di codice mobile è accettabile.