Do Postfix và Dovecot có hỗ trợ dập ghim OCSP không?


10

Vì tôi muốn đặt thuộc tính "phải ghim" trong chứng chỉ SSL của mình, tôi đã thực hiện một số nghiên cứu để tìm hiểu xem tất cả các dịch vụ của tôi có hỗ trợ dập ghim OCSP không. Cho đến nay tôi đã phát hiện ra rằng Apache làm điều mà tôi có thể xác nhận bằng SSLLabs.com.

Nhưng ngoài ra, tôi không thể xác nhận, nếu hai dịch vụ khác của tôi (SMTP và IMAP) cũng hỗ trợ dập ghim OCSP. Bây giờ câu hỏi của tôi là, làm Postfix và Dovecot cũng hỗ trợ nó?

Tái bút: Tôi biết rằng các chứng chỉ dường như không quan trọng khi chuyển thư, nhưng tôi muốn tránh mọi vấn đề có thể xảy ra, nếu tôi thêm thuộc tính và khách hàng có thể từ chối làm việc vì điều đó, trong khi những người khác có thể lợi ích từ nó.


AFAIK, postfix không có cách nào để tiếp cận với các máy chủ OCSP. Những gì ảnh hưởng đến chủ yếu phải có sẽ không rõ ràng với tôi. Câu hỏi hay.
Aaron

@Aaron: Theo RFC 7633, nó sẽ gây ra lỗi ngay lập tức cho phía máy khách, nếu máy chủ không cung cấp trạng thái OCSP hợp lệ được ghim vào phản hồi, do khách hàng thực sự quan tâm.
comfreak

2
FYI: Bạn có thể sử dụng s_client của OpenSSL để kiểm tra xem nó có hoạt động như thế nào không openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Máy chủ Dovecot của tôi không có dập ghim, vì vậy tôi cũng muốn biết cách thiết lập nó, nếu có thể.)
derobert

Thu thập dữ liệu trên web chỉ hiển thị kết quả mà postfix và dovecot không hỗ trợ dập ghim OCSP. Có đủ cho bạn?
reichhart

Câu trả lời:


4

Kể từ 2017-10, Không .

Dovecot không có bất kỳ hỗ trợ OCSP nào , kể từ năm 2016 đã xem xét tính năng cho bản phát hành trong tương lai , không có công việc nào được thực hiện trên đó kể từ đó.

Postfix không có bất kỳ hỗ trợ OCSP nàokể từ năm 2017 không có kế hoạch bao giờ thực hiện tính năng này .

Exim có thể cung cấp cho khách hàng phản hồi OCSP , tuy nhiên việc có được như vậy vẫn là một bài tập cho quản trị viên.

Các đối số chính chống lại việc thêm hỗ trợ đó là:

  1. Các tính năng bảo mật phải đơn giản để chúng có nhiều lợi ích hơn các rủi ro được thêm vào. OCSP rất phức tạp. Hiệu lực của chứng chỉ ngắn là đơn giản và giảm thiểu cùng một vấn đề.
  2. Vấn đề Chicken-Egg về hỗ trợ OCSP trong các máy chủ hoàn toàn vô dụng cho đến khi MUA thêm hỗ trợ đó.

Điều này không cản trở việc sử dụng must-staplechứng chỉ trong các máy chủ web. Chỉ cần bật tùy chọn trên chứng chỉ máy chủ web của bạn (ví dụ www.example.com) và bị vô hiệu hóa trên chứng chỉ máy chủ thư của bạn (ví dụ mail1.example.com).

Cảnh báo: Nếu cuối cùng hỗ trợ được bật trong các máy chủ mong muốn của bạn, đừng hy vọng họ xác thực các lần bán lại OCSP mà họ gửi (ví dụ: nginx có tính năng tắt mặc định tùy chọn ssl_stapling_verifycho các mục đích đó). Phát biểu từ kinh nghiệm, người trả lời OCSP thỉnh thoảng trả lại những điều kỳ lạ nhất, rằng (nếu máy chủ của bạn vô điều kiện chuyển tiếp họ không được kiểm tra) sẽ ngắt kết nối khách hàng của bạn MUA, trong khi thực tế thì phản hồi mới nhất thứ hai sẽ ổn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.