A partir de 2017-10, Não .
O Dovecot não tem nenhum suporte OCSP , a partir de 2016 estava considerando o recurso para uma versão futura , nenhum trabalho foi feito sobre isso desde então.
O postfix não possui nenhum suporte OCSP e a partir de 2017 não está planejando nunca nunca implementar esse recurso .
Exim pode fornecer aos clientes um A resposta do OCSP , ainda que adquiri-lo, ainda é deixada como um exercício para o administrador.
Os principais argumentos contra a adição desse suporte são:
- Os recursos de segurança devem ser simples para que eles tenham mais benefícios do que riscos adicionais. OCSP é complexo. A validade de certificado curto é simples e mitiga o mesmo problema.
- O problema do ovo de galinha do suporte a OCSP em servidores é totalmente inútil até que os MUAs adicionem esse suporte.
Isso não impede o uso de certificados must-staple
em servidores da Web. Basta ativar a opção no certificado do servidor Web (por exemplo, www.example.com
) e desativá-la no certificado do servidor de e-mail mail1.example.com
).
Aviso: Se o suporte for ativado nos servidores desejados, não espere que eles validem as resonhas OCSP que eles enviam (por exemplo, o nginx tem um recurso opcional de desativação ssl_stapling_verify
para tais fins).
Falando da experiência, os respondentes OCSP ocasionalmente retornam as coisas mais estranhas, que (se o seu servidor as encaminhar incondicionalmente desmarcadas) desconectarão os MUAs dos seus clientes, quando na verdade a segunda resposta mais recente teria sido boa.