Revoca. OCSP e CRL sono alquanto irrilevanti al giorno d'oggi. Sono non molto efficaci per la sicurezza . E se non riesci a raggiungere l'autorità di revoca, nessun problema, il browser ignora felicemente l'errore di rete e procede come se i certificati non sono corretti . Quindi l'impossibilità di creare connessioni in uscita per OCSP o CRL non dovrebbe rappresentare un problema.
Aggiornamenti. Il grande è il download degli aggiornamenti (ad es. aggiornamenti software, aggiornamenti A / V). Penso che potresti voler aggiungere una whitelist al firewall delle connessioni in uscita consentite, in modo che le macchine possano ancora ottenere i loro aggiornamenti di sicurezza.
Per gli aggiornamenti di Windows, penso che tu voglia consentire l'accesso alle porte TCP 80 e 443 sui seguenti domini:
*.download.windowsupdate.com
*.windowsupdate.com
download.microsoft.com
ntservicepack.microsoft.com
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
wustat.windows.com
update.microsoft.com
*.update.microsoft.com
test.stats.update.microsoft.com
Vedi anche Regola del firewall per consentire l'accesso agli aggiornamenti di Windows o ad altre risorse su un CDN? .