O Postfix e o Dovecot suportam o grampeamento OCSP?

10

Como gostaria de definir o atributo "deve grampear" em meus certificados SSL, estava fazendo uma pesquisa para descobrir se todos os meus serviços suportam o grampeamento OCSP. Até agora eu descobri que o Apache faz o que eu consegui confirmar usando o SSLLabs.com.

Mas, além disso, não consegui confirmar se meus dois outros serviços (SMTP e IMAP) também suportam o grampeamento OCSP. Agora, a minha pergunta é: o Postfix e o Dovecot também o suportam?

PS: Eu sei que os certificados não parecem ser cruciais quando se trata de transporte de e-mail, mas eu gostaria de evitar quaisquer possíveis problemas, se eu adicionar o atributo e um cliente pode se recusar a trabalhar por causa disso, enquanto outros poderiam se beneficiar disso.

    
por comfreak 03.02.2017 / 15:50

1 resposta

1

A partir de 2017-10, Não .

O Dovecot não tem nenhum suporte OCSP , a partir de 2016 estava considerando o recurso para uma versão futura , nenhum trabalho foi feito sobre isso desde então.

O postfix não possui nenhum suporte OCSP e a partir de 2017 não está planejando nunca nunca implementar esse recurso .

Exim pode fornecer aos clientes um A resposta do OCSP , ainda que adquiri-lo, ainda é deixada como um exercício para o administrador.

Os principais argumentos contra a adição desse suporte são:

  1. Os recursos de segurança devem ser simples para que eles tenham mais benefícios do que riscos adicionais. OCSP é complexo. A validade de certificado curto é simples e mitiga o mesmo problema.
  2. O problema do ovo de galinha do suporte a OCSP em servidores é totalmente inútil até que os MUAs adicionem esse suporte.

Isso não impede o uso de certificados must-staple em servidores da Web. Basta ativar a opção no certificado do servidor Web (por exemplo, www.example.com ) e desativá-la no certificado do servidor de e-mail mail1.example.com ).

Aviso: Se o suporte for ativado nos servidores desejados, não espere que eles validem as resonhas OCSP que eles enviam (por exemplo, o nginx tem um recurso opcional de desativação ssl_stapling_verify para tais fins). Falando da experiência, os respondentes OCSP ocasionalmente retornam as coisas mais estranhas, que (se o seu servidor as encaminhar incondicionalmente desmarcadas) desconectarão os MUAs dos seus clientes, quando na verdade a segunda resposta mais recente teria sido boa.

    
por 13.10.2017 / 18:59