Поддерживают ли Postfix и Dovecot сшивание OCSP?

10

Поскольку я хотел бы установить атрибут «must staple» в своих сертификатах SSL, я провел некоторое исследование, чтобы выяснить, поддерживают ли все мои службы сшивание OCSP. До сих пор я узнал, что Apache делает то, что мне удалось подтвердить с помощью SSLLabs.com.

Но кроме этого я не смог подтвердить, поддерживают ли мои две другие службы (SMTP и IMAP) также сшивание OCSP. Теперь мой вопрос: Postfix и Dovecot также поддерживают это?

PS: я знаю, что сертификаты не кажутся важными, когда речь идет о почтовом транспорте, но я хотел бы избежать любых возможных проблем, если я добавлю атрибут, и клиент может отказаться от работы из-за этого, в то время как другие могут выиграть от этого.

ssl  postfix  dovecot  ocsp 
comfreak
источник
AFAIK, postfix не может связаться с серверами OCSP. Что повлияет на основной продукт, мне неясно. Хороший вопрос.
Аарон
@Aaron: в соответствии с RFC 7633 это вызовет немедленный сбой на стороне клиента, если сервер не предоставит действительный статус OCSP, прикрепленный к ответу, учитывая, что клиент на самом деле заботится.
Comfreak
2
К вашему сведению: вы можете использовать s_client OpenSSL, чтобы проверить, работает ли он так openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (На моем сервере Dovecot нет скрепок, поэтому я бы тоже хотел узнать, как его настроить, если это возможно.)
derobert
При сканировании в Интернете отображаются только результаты, в которых postfix и dovecot не поддерживают сшивание OCSP. Вам этого достаточно?
Рейххарт

Ответы:

4

По состоянию на 2017-10, нет .

Dovecot не имеет никакой поддержки OCSP , так как с 2016 года эта функция рассматривалась в будущем выпуске , и с тех пор над ней не ведется никакой работы.

Postfix не имеет никакой поддержки OCSP , и с 2017 года не планирует когда- либо реализовывать такую ​​функцию .

Exim может предоставить клиентам ответ OCSP , но его получение пока оставлено администратору.

Основными аргументами против добавления такой поддержки являются:

  1. Функции безопасности должны быть простыми, чтобы иметь больше преимуществ, чем дополнительных рисков. OCSP сложен. Краткий срок действия сертификата прост и устраняет ту же проблему.
  2. Проблема Chicken-Egg поддержки OCSP на серверах совершенно бесполезна, пока MUA не добавят такую ​​поддержку.

Это не мешает использованию must-stapleсертификатов на веб-серверах. Просто включите опцию в сертификате вашего веб-сервера (например www.example.com) и отключите в сертификате вашего почтового сервера (например mail1.example.com).

Предупреждение. Если в конечном итоге поддержка будет включена на желаемых серверах, также не ожидайте, что они подтвердят отправленные ими OCSP-резонансы (например, nginx имеет дополнительную функцию ssl_stapling_verifyпо умолчанию для таких целей). Судя по опыту, респонденты OCSP иногда возвращают самые странные вещи, которые (если ваш сервер безоговорочно перенаправляет их без проверки) будут отключать клиентские MUA, когда на самом деле второй последний ответ будет в порядке.

апх
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.