Для мониторинга сетевого трафика в OSX я использую межсетевой экран HandsOff! по метакину. Я заметил, что Thunderbird подключается только через порт 80 (http) при проверке обновленных сертификатов.
Это нормально?
Я использую Thunderbird уже несколько дней, и он никогда не выбирал для установки безопасных соединений через порт 443 (https) при проверке сертификатов.
Как показывает ваш скриншот, Thunderbird создает соединения для получения CRL и проверки статуса сертификата с помощью OCSP. В обоих случаях SSL не требуется для обеспечения безопасности, поскольку списки отзыва X.509 и ответы OSCP всегда подписываются одним и тем же ЦС.
В некотором смысле это курица и яйцо. Если браузер хочет проверить сертификат по SSL-соединению, то он также должен будет проверить сертификат SSL-соединения, но как он может проверить сертификат этого SSL-соединения?
Поэтому, если я захожу на https://addons.mozilla.org, мне нужно проверить сертификат с помощью OCSP, поэтому я подключаюсь к серверу OCSP, указанному в сертификате. Если мне надоело подключаться к серверу OCSP по протоколу HTTPS, мне нужно было бы проверить сертификат сервера OCSP, но куда мне обратиться, чтобы это проверить?
Как упомянуто @grawity, шифрование не требуется для сохранения проверки сертификата в открытом виде, поскольку PKI, используемый для сертификатов, уже предотвращает любые проблемы.
