Czy Postfix i Dovecot obsługują zszywanie OCSP?

10

Ponieważ chciałbym ustawić atrybut „musi zszywać” w moich certyfikatach SSL, szukałem informacji, czy wszystkie moje usługi obsługują zszywanie OCSP. Do tej pory dowiedziałem się, że Apache robi, co udało mi się potwierdzić za pomocą SSLLabs.com.

Ale poza tym nie byłem w stanie potwierdzić, czy moje dwie inne usługi (SMTP i IMAP) również obsługują zszywanie OCSP. Teraz moje pytanie brzmi: czy Postfix i Dovecot również to obsługują?

PS: Wiem, że certyfikaty nie wydają się kluczowe w transporcie poczty, ale chciałbym uniknąć wszelkich możliwych problemów, jeśli dodam ten atrybut, a klient może odmówić pracy z tego powodu, podczas gdy inni mogą skorzystaj z tego.

comfreak
źródło
AFAIK, postfix nie ma możliwości kontaktu z serwerami OCSP. Nie wiem, jaki wpływ będzie miał zszywacz. Dobre pytanie.
Aaron
@Aaron: Zgodnie z RFC 7633 spowoduje natychmiastową awarię po stronie klienta, jeśli serwer nie zapewni prawidłowego statusu OCSP zszytego z odpowiedzią, biorąc pod uwagę, że klientowi tak naprawdę zależy.
comfreak
2
FYI: Możesz użyć s_client OpenSSL, aby sprawdzić, czy działa jak openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Mój serwer Dovecot nie ma zszywania, więc chciałbym również wiedzieć, jak go skonfigurować, jeśli to możliwe.)
derobert
Przeszukiwanie sieci wyświetlało tylko te wyniki, których postfiks i dovecot nie obsługują zszywania OCSP. Czy to ci wystarcza?
reichhart

Odpowiedzi:

4

Na dzień 2017-10 nr .

Dovecot nie ma żadnego wsparcia OCSP , ponieważ od 2016 r. Rozważał funkcję przyszłej wersji , od tego czasu nie przeprowadzono żadnych prac.

Postfix nie ma żadnej obsługi OCSP , a od 2017 r. Nie planuje nigdy takiej implementacji .

Exim może dostarczyć klientom odpowiedź OCSP , ale uzyskanie takiej odpowiedzi jest jeszcze zadaniem administratora.

Główne argumenty przeciwko dodaniu takiego wsparcia to:

  1. Funkcje bezpieczeństwa powinny być proste, aby miały więcej korzyści niż dodatkowe ryzyko. OCSP jest złożony. Krótka ważność certyfikatu jest prosta i łagodzi ten sam problem.
  2. Problem Chicken-Egg związany ze wsparciem OCSP na serwerach jest całkowicie bezużyteczny, dopóki MUA nie dodadzą takiego wsparcia.

Nie utrudnia to korzystania z must-staplecertyfikatów na serwerach internetowych. Po prostu włącz tę opcję na certyfikacie serwera internetowego (np. www.example.com) I wyłącz na certyfikacie serwera pocztowego (np mail1.example.com.).

Ostrzeżenie: jeśli w końcu zostanie włączona obsługa żądanych serwerów, nie oczekuj też, że sprawdzą oni odpowiedzi OCSP, które wysyłają (np. Nginx ma opcjonalną funkcję domyślnego wyłączania ssl_stapling_verifydo takich celów). Mówiąc z doświadczenia, respondenci OCSP czasami zwracają najdziwniejsze rzeczy, które (jeśli Twój serwer bezwarunkowo przekazuje je niezaznaczone) rozłączą MUA klientów, podczas gdy w rzeczywistości druga ostatnia odpowiedź byłaby w porządku.

anx
źródło