Чи підтримують Postfix і Dovecot зшивання OCSP?

10

Оскільки я хотів би встановити атрибут "must staple" у своїх SSL-сертифікатах, я робив деякі дослідження, щоб з'ясувати, чи підтримують усі мої служби OCSP. Поки я дізнався, що Apache робить це, що мені вдалося підтвердити за допомогою SSLLabs.com.

Але окрім цього, я не зміг підтвердити, чи мої дві інші служби (SMTP та IMAP) також підтримують з'єднання OCSP. Тепер моє запитання: чи Postfix та Dovecot також підтримують його?

PS: Я знаю, що сертифікати не здаються вирішальними, якщо мова йде про поштовий транспорт, але я хотів би уникнути можливих проблем, якщо я додаю атрибут, і клієнт може відмовитись працювати, тому що інші можуть користь від цього.

ssl  postfix  dovecot  ocsp 
комфрік
джерело
AFAIK, postfix не має можливості дістатися до серверів OCSP. Що впливатиме на основний штапел, мені незрозуміло. Хороше питання.
Аарон
@Aaron: Відповідно до RFC 7633, це спричинить негайний збій на стороні клієнта, якщо сервер не надає дійсний статус OCSP, зв'язаний з відповіддю, якщо клієнт насправді піклується.
comfreak
2
FYI: Ви можете використовувати s_client OpenSSL, щоб перевірити, чи працює він openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Мій сервер Dovecot не має зшивання, тому я також хотів би знати, як його налаштувати, якщо це можливо.)
derobert
Сканування в Інтернеті відображає лише результати, що постфікс та голубець не підтримують зшивання OCSP. Вам це достатньо?
рейххарт

Відповіді:

4

Станом на 2017-10, немає .

У Dovecot немає жодної підтримки OCSP , оскільки станом на 2016 рік було розглянуто функцію для майбутнього випуску , з цього часу жодної роботи з цього питання не проводилося.

Postfix не має жодної підтримки OCSP , і станом на 2017 рік не планує коли- небудь реалізовувати таку функцію .

Exim може надати клієнтам відповідь OCSP , але придбання такого ще залишається адміністратором.

Основними аргументами проти додавання такої підтримки є:

  1. Функції безпеки повинні бути простими, щоб вони мали більше користі, ніж додаткових ризиків. OCSP є складним. Короткий термін дії сертифіката простий і пом'якшує ту саму проблему.
  2. Проблема Chicken-Egg підтримки OCSP на серверах є абсолютно марною, поки MUA не додадуть таку підтримку.

Це не перешкоджає використанню must-stapleсертифікатів на веб-серверах. Просто увімкніть цю опцію на сертифікаті веб-сервера (наприклад www.example.com) та вимкнено на сертифікаті вашого поштового сервера (наприклад mail1.example.com).

Попередження: Якщо підтримка врешті-решт увімкнена на потрібних серверах, не сподівайтесь також на те, що вони перевірятимуть надсилані протоколи OCSP (наприклад, nginx має додаткову функцію ssl_stapling_verifyза замовчуванням для таких цілей). Якщо говорити з досвіду, відповідачі OCSP періодично повертають найсмішніші речі, які (якщо ваш сервер безумовно пересилає їх безперешкодно) відключать ваші клієнтські MUA, адже насправді другий останній відповідь був би добре.

anx
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.