OCSPは許可しますが、他のすべての発信HTTP要求は許可しない方法は何ですか?

OCSPは許可しますが、他のすべての発信HTTP要求は許可しない方法は何ですか?

OCSPリクエストを許可するためにiptablesやSquidなどを使用できますか?実験しています。安全でない発信HTTPリクエストの拒否しかし、OCSPはもちろん有効な例外です。ブラウザで応答を検証します。。それとも、OCSP HTTP要求を一意に識別してそれに対してカスタムフィルタを作成する方法はありますか?

または、OCSPで使用される公式IP/サブネットのリストはありますか?これなぜなら有望に見えます。作成者はHTTPSの使用を強制します。方法はさまざまですが、維持されるという保証はありません。

答え1

これはおそらくそれ以上にiptablesアプリケーション層でフィルタリングを要求していますが、これは非常に複雑です。squidペアリングについて考え、誰もが通過するように強制するiptables必要があると思います。http

編集する:より問題の履歴反対投票する前に、元の質問がこの回答の内容で更新されました。

関連情報