Revocación. Los OCSP y las CRL son bastante irrelevantes en estos días. Son no muy efectivos para la seguridad . Y si no puede comunicarse con la autoridad de revocación, no hay problema, el navegador ignora el error de la red y continúa como si los certificados no han sido revocados . Por lo tanto, la incapacidad de hacer conexiones salientes para OCSP o CRL no debería plantear problemas.
Actualizaciones. La principal es la descarga de actualizaciones (por ejemplo, actualizaciones de software, actualizaciones de A / V). Creo que es posible que desee agregar una lista blanca a su firewall de conexiones salientes permitidas, para que las máquinas aún puedan obtener sus actualizaciones de seguridad.
Para las actualizaciones de Windows, creo que desea permitir el acceso a los puertos TCP 80 y 443 en los siguientes dominios:
*.download.windowsupdate.com
*.windowsupdate.com
download.microsoft.com
ntservicepack.microsoft.com
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
wustat.windows.com
update.microsoft.com
*.update.microsoft.com
test.stats.update.microsoft.com
Consulte también ¿Regla de firewall para permitir el acceso a actualizaciones de Windows u otros recursos en un CDN? .