Ssl

Postfix 和 Dovecot 是否支持 OCSP 裝訂?

  • December 24, 2017

由於我想在我的 SSL 證書中設置“必須裝訂”屬性,因此我正在做一些研究以了解我的所有服務是否都支持 OCSP 裝訂。到目前為止,我發現 Apache 確實可以使用 SSLLabs.com 進行確認。

但除此之外,我無法確認我的其他兩個服務(SMTP 和 IMAP)是否也支持 OCSP 裝訂。現在我的問題是,Postfix 和 Dovecot 是否也支持它?

PS:我知道證書在郵件傳輸方面似乎並不重要,但我想避免任何可能的問題,如果我添加屬性並且客戶端可能因此拒絕工作,而其他人可以從中受益。

截至 2017 年 10 月,沒有

Dovecot 沒有任何 OCSP 支持截至 2016 年,它一直在考慮未來版本的功能,此後沒有做任何工作。

Postfix 沒有任何 OCSP 支持截至2017 年也不打算實現此類功能

Exim可以為客戶提供 OCSP 響應,但獲取此類響應仍留給管理員作為練習。

反對增加這種支持的主要論據是:

  1. 安全功能應該是簡單的,因此它們的好處多於增加的風險。OCSP 很複雜。短證書有效期很簡單,可以緩解同樣的問題。
  2. 在 MUA 添加此類支持之前,伺服器中 OCSP 支持的雞雞蛋問題完全沒有用。

**這並不妨礙must-staple在 Web 伺服器中使用證書。**只需在您的網路伺服器證書上啟用該選項(例如www.example.com)並在您的郵件伺服器證書上禁用該選項(例如mail1.example.com)。

**警告:**如果最終在您所需的伺服器中啟用了支持,則不要期望它們驗證它們發送的 OCSP 響應(例如,nginx 有一個可選的預設關閉功能ssl_stapling_verify用於此類目的)。根據經驗,OCSP 響應者偶爾會返回最奇怪的東西,(如果您的伺服器無條件地轉發它們未經檢查)將斷開您的客戶端 MUA,而實際上第二個最新的響應會很好。

引用自:https://serverfault.com/questions/830434