¿Postfix y Dovecot admiten el engrapado OCSP?

10

Como me gustaría establecer el atributo "debe grapar" en mis certificados SSL, estaba investigando para descubrir si todos mis servicios son compatibles con el grapado OCSP. Hasta ahora descubrí que Apache hace lo que pude confirmar usando SSLLabs.com.

Pero aparte de eso, no pude confirmar si mis otros dos servicios (SMTP e IMAP) también admiten el engrapado OCSP. Ahora mi pregunta es, ¿Postfix y Dovecot también lo admiten?

PD: Sé que los certificados no parecen ser cruciales cuando se trata de transporte de correo, pero me gustaría evitar cualquier posible problema, si agrego el atributo y un cliente puede negarse a trabajar por eso, mientras que otros podrían beneficiarse de.

ssl postfix dovecot ocsp comfreak
fuente
AFAIK, postfix no tiene forma de llegar a los servidores OCSP. Lo que afectará la grapa del mosto no me queda claro. Buena pregunta.
Aaron
@ Aaron: De acuerdo con RFC 7633, causará una falla inmediata en el lado del cliente, si el servidor no proporciona un estado OCSP válido engrapado a la respuesta, dado que el cliente realmente se preocupa.
Comfreak
2
FYI: puede usar el cliente_de OpenSSL para verificar si funciona de la misma manera openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Servidor Mi Palomar no tiene grapado, así que me gustaría saber cómo configurarlo, también, si es posible.)
Derobert
Rastrear la web muestra solo resultados que postfix y dovecot no admiten grapado OCSP. ¿Es suficiente para ti?
reichhart

Respuestas:

4

A partir de 2017-10, no .

Dovecot no tiene ningún soporte de OCSP , ya que a partir de 2016 estaba considerando la función para un lanzamiento futuro , no se ha trabajado en eso desde entonces.

Postfix no tiene ningún tipo de soporte de OCSP y, a partir de 2017, no planea implementar alguna vez dicha función .

Exim puede proporcionar a los clientes una respuesta de OCSP , pero la adquisición aún se deja como un ejercicio para el administrador.

Los principales argumentos en contra de agregar dicho soporte son:

  1. Las características de seguridad deben ser simples para que tengan más beneficios que riesgos adicionales. OCSP es complejo. La validez del certificado breve es simple y mitiga el mismo problema.
  2. El problema del huevo de gallina del soporte de OCSP en servidores es completamente inútil hasta que los MUA agregan dicho soporte.

Esto no obstaculiza el uso de must-staplecertificados en servidores web. Solo tiene la opción habilitada en su certificado de servidor web (por ejemplo www.example.com) y deshabilitada en su certificado de servidor de correo (por ejemplo mail1.example.com).

Advertencia: si finalmente se habilita el soporte en los servidores deseados, no espere que validen las resonses OCSP que envían (por ejemplo, nginx tiene una función opcional de apagado predeterminado ssl_stapling_verifypara tales fines). Hablando por experiencia, los respondedores de OCSP ocasionalmente devuelven las cosas más extrañas, que (si su servidor las reenvía incondicionalmente sin verificar) desconectará los MUA de sus clientes, cuando de hecho la segunda última respuesta hubiera estado bien.

ansioso
fuente