Postfix 和 Dovecot 是否支持 OCSP 裝訂？

由於我想在我的 SSL 證書中設置“必須裝訂”屬性，因此我正在做一些研究以了解我的所有服務是否都支持 OCSP 裝訂。到目前為止，我發現 Apache 確實可以使用 SSLLabs.com 進行確認。

但除此之外，我無法確認我的其他兩個服務（SMTP 和 IMAP）是否也支持 OCSP 裝訂。現在我的問題是，Postfix 和 Dovecot 是否也支持它？

PS：我知道證書在郵件傳輸方面似乎並不重要，但我想避免任何可能的問題，如果我添加屬性並且客戶端可能因此拒絕工作，而其他人可以從中受益。

截至 2017 年 10 月，沒有。

Dovecot 沒有任何 OCSP 支持，截至 2016 年，它一直在考慮未來版本的功能，此後沒有做任何工作。

Postfix 沒有任何 OCSP 支持，截至2017 年也不打算實現此類功能。

Exim可以為客戶提供 OCSP 響應，但獲取此類響應仍留給管理員作為練習。

反對增加這種支持的主要論據是：

1. 安全功能應該是簡單的，因此它們的好處多於增加的風險。OCSP 很複雜。短證書有效期很簡單，可以緩解同樣的問題。
2. 在 MUA 添加此類支持之前，伺服器中 OCSP 支持的雞雞蛋問題完全沒有用。

**這並不妨礙must-staple在 Web 伺服器中使用證書。**只需在您的網路伺服器證書上啟用該選項（例如www.example.com）並在您的郵件伺服器證書上禁用該選項（例如mail1.example.com）。

**警告：**如果最終在您所需的伺服器中啟用了支持，則不要期望它們驗證它們發送的 OCSP 響應（例如，nginx 有一個可選的預設關閉功能ssl_stapling_verify用於此類目的）。根據經驗，OCSP 響應者偶爾會返回最奇怪的東西，（如果您的伺服器無條件地轉發它們未經檢查）將斷開您的客戶端 MUA，而實際上第二個最新的響應會很好。

引用自：https://serverfault.com/questions/830434