web-dev-qa-db-ja.com

PostfixとDovecotはOCSPステープリングをサポートしていますか?

SSL証明書に「必須」属性を設定したいので、すべてのサービスがOCSPステープリングをサポートしているかどうかを調べるためにいくつかの調査を行っていました。これまでのところ、ApacheがSSLLabs.comを使用して確認できることを確認しました。

しかし、それとは別に、他の2つのサービス(SMTPとIMAP)もOCSPステープリングをサポートしているかどうかは確認できませんでした。今私の質問は、PostfixとDovecotもそれをサポートしていますか?

PS:メールトランスポートに関しては、証明書は重要ではないようですが、属性を追加すると、クライアントがそのために作業を拒否する可能性がある場合は、問題が発生しないようにします。それから利益を得る。

10
comfreak

2017-10現在、いいえ

DovecotまったくOCSPのサポートはありません2016年現在、将来のリリースの機能を検討しています 、それ以来、作業は行われていません。

PostfixまったくOCSPのサポートはありません 、そして 2017年の時点では、everそのような機能を実装する

Eximできる クライアントにOCSP応答を提供する ですが、そのようなものを取得することは、まだ管理者への課題として残されています。

そのようなサポートを追加することに対する主な議論は次のとおりです。

  1. セキュリティ機能はシンプルである必要があり、追加されたリスクよりも多くの利点があります。 OCSPは複雑です。短い証明書の有効性は単純であり、同じ問題を軽減します。
  2. サーバーでのOCSPサポートのチキンエッグ問題は、MUAがそのようなサポートを追加するまでまったく役に立たない。

これにより、Webサーバーでのmust-staple証明書の使用が妨げられることはありません。Webサーバー証明書でオプションを有効にし(www.example.comなど)、メールで無効にするサーバー証明書(例:mail1.example.com)。

警告:目的のサーバーでサポートが最終的に有効になる場合、それらが送信するOCSP応答を検証することも期待しないでください(たとえば、nginxにはオプションがあり、そのような目的のためのデフォルトオフ機能ssl_stapling_verify)。経験から言えば、OCSPレスポンダーは時々奇妙なことを返します。サーバーが無条件にそれらをチェックなしで転送した場合、クライアントのMUAが切断されます。

4
anx