Поскольку я хотел бы установить атрибут «must staple» в своих сертификатах SSL, я провел некоторое исследование, чтобы выяснить, поддерживают ли все мои службы сшивание OCSP. До сих пор я узнал, что Apache делает то, что мне удалось подтвердить с помощью SSLLabs.com.
Но кроме этого я не смог подтвердить, поддерживают ли мои две другие службы (SMTP и IMAP) также сшивание OCSP. Теперь мой вопрос: Postfix и Dovecot также поддерживают это?
PS: я знаю, что сертификаты не кажутся важными, когда речь идет о почтовом транспорте, но я хотел бы избежать любых возможных проблем, если я добавлю атрибут, и клиент может отказаться от работы из-за этого, в то время как другие могут выиграть от этого.
openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp
. (На моем сервере Dovecot нет скрепок, поэтому я бы тоже хотел узнать, как его настроить, если это возможно.)Ответы:
По состоянию на 2017-10, нет .
Dovecot не имеет никакой поддержки OCSP , так как с 2016 года эта функция рассматривалась в будущем выпуске , и с тех пор над ней не ведется никакой работы.
Postfix не имеет никакой поддержки OCSP , и с 2017 года не планирует когда- либо реализовывать такую функцию .
Exim может предоставить клиентам ответ OCSP , но его получение пока оставлено администратору.
Основными аргументами против добавления такой поддержки являются:
Это не мешает использованию
must-staple
сертификатов на веб-серверах. Просто включите опцию в сертификате вашего веб-сервера (напримерwww.example.com
) и отключите в сертификате вашего почтового сервера (напримерmail1.example.com
).Предупреждение. Если в конечном итоге поддержка будет включена на желаемых серверах, также не ожидайте, что они подтвердят отправленные ими OCSP-резонансы (например, nginx имеет дополнительную функцию
ssl_stapling_verify
по умолчанию для таких целей). Судя по опыту, респонденты OCSP иногда возвращают самые странные вещи, которые (если ваш сервер безоговорочно перенаправляет их без проверки) будут отключать клиентские MUA, когда на самом деле второй последний ответ будет в порядке.источник