Ponieważ chciałbym ustawić atrybut „musi zszywać” w moich certyfikatach SSL, szukałem informacji, czy wszystkie moje usługi obsługują zszywanie OCSP. Do tej pory dowiedziałem się, że Apache robi, co udało mi się potwierdzić za pomocą SSLLabs.com.
Ale poza tym nie byłem w stanie potwierdzić, czy moje dwie inne usługi (SMTP i IMAP) również obsługują zszywanie OCSP. Teraz moje pytanie brzmi: czy Postfix i Dovecot również to obsługują?
PS: Wiem, że certyfikaty nie wydają się kluczowe w transporcie poczty, ale chciałbym uniknąć wszelkich możliwych problemów, jeśli dodam ten atrybut, a klient może odmówić pracy z tego powodu, podczas gdy inni mogą skorzystaj z tego.
openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp
. (Mój serwer Dovecot nie ma zszywania, więc chciałbym również wiedzieć, jak go skonfigurować, jeśli to możliwe.)Odpowiedzi:
Na dzień 2017-10 nr .
Dovecot nie ma żadnego wsparcia OCSP , ponieważ od 2016 r. Rozważał funkcję przyszłej wersji , od tego czasu nie przeprowadzono żadnych prac.
Postfix nie ma żadnej obsługi OCSP , a od 2017 r. Nie planuje nigdy takiej implementacji .
Exim może dostarczyć klientom odpowiedź OCSP , ale uzyskanie takiej odpowiedzi jest jeszcze zadaniem administratora.
Główne argumenty przeciwko dodaniu takiego wsparcia to:
Nie utrudnia to korzystania z
must-staple
certyfikatów na serwerach internetowych. Po prostu włącz tę opcję na certyfikacie serwera internetowego (np.www.example.com
) I wyłącz na certyfikacie serwera pocztowego (npmail1.example.com
.).Ostrzeżenie: jeśli w końcu zostanie włączona obsługa żądanych serwerów, nie oczekuj też, że sprawdzą oni odpowiedzi OCSP, które wysyłają (np. Nginx ma opcjonalną funkcję domyślnego wyłączania
ssl_stapling_verify
do takich celów). Mówiąc z doświadczenia, respondenci OCSP czasami zwracają najdziwniejsze rzeczy, które (jeśli Twój serwer bezwarunkowo przekazuje je niezaznaczone) rozłączą MUA klientów, podczas gdy w rzeczywistości druga ostatnia odpowiedź byłaby w porządku.źródło