Поддерживают ли Postfix и Dovecot сшивание OCSP?
Так как я хотел бы установить атрибут «обязательное сшивание» в моих SSL-сертификатах, я провел небольшое исследование, чтобы выяснить, все ли мои службы поддерживают сшивание OCSP. Пока я узнал, что Apache делает, что я смог подтвердить с помощью SSLLabs.com.
Но кроме этого, я не смог подтвердить, поддерживают ли две другие мои службы (SMTP и IMAP) сшивание OCSP. Теперь у меня вопрос, поддерживают ли его также Postfix и Dovecot?
PS: Я знаю, что сертификаты не имеют решающего значения, когда дело касается почтового транспорта, но я бы хотел избежать любых возможных проблем, если я добавлю атрибут, и клиент может отказаться работать из-за этого, в то время как другие могут извлечь из этого выгоду.
По состоянию на 2017-10 гг., Нет .
Dovecot не имеет никакой поддержки OCSP , по состоянию на 2016 г. функция для будущего выпуска , с тех пор над ней не производилось никакой работы.
Postfix не имеет никакой поддержки OCSP , а по состоянию на 2017 год не планирует когда-либо когда-либо реализуют такую функцию .
Exim может предоставлять клиентам ответ OCSP , но получение такового пока остается в качестве упражнения для администратора.
] Основные аргументы против добавления такой поддержки:
- Функции безопасности должны быть простыми, чтобы они приносили больше пользы, чем дополнительных рисков. OCSP сложен. Короткий срок действия сертификата прост и устраняет ту же проблему.
- Проблема куриного яйца с поддержкой OCSP на серверах совершенно бесполезна, пока MUA не добавят такую поддержку.
Это не препятствует использованию must-staple сертификатов на веб-серверах. Просто включите этот параметр в сертификате веб-сервера (например, www.example.com ) и отключите его в сертификате почтового сервера (например, mail1.example.com ).
Предупреждение : Если поддержка в конечном итоге будет включена на желаемых серверах, не ожидайте, что они будут проверять отправленные ими резонансы OCSP (например, в nginx есть дополнительная функция, отключенная по умолчанию ssl_stapling_verify для таких целей).
Исходя из опыта, респонденты OCSP иногда возвращают самые странные вещи, которые (если ваш сервер безоговорочно пересылает их без проверки) отключат ваших клиентов MUA, хотя на самом деле второй последний ответ был бы нормальным.