Apakah Postfix dan Dovecot mendukung penjepretan OCSP?

10

Karena saya ingin mengatur atribut "harus dijepit" di sertifikat SSL saya, saya sedang melakukan riset untuk mengetahui apakah semua layanan saya mendukung penjepretan OCSP. Sejauh ini saya mengetahui, bahwa Apache melakukan apa yang saya bisa konfirmasi menggunakan SSLLabs.com.

Namun terlepas dari itu, saya tidak dapat mengkonfirmasi, jika dua layanan saya yang lain (SMTP dan IMAP) juga mendukung stapel OCSP. Sekarang pertanyaan saya adalah, apakah Postfix dan Dovecot juga mendukungnya?

PS: Saya tahu bahwa sertifikat tampaknya tidak penting dalam hal pengiriman surat, tetapi saya ingin menghindari masalah yang mungkin terjadi, jika saya menambahkan atribut dan klien mungkin menolak untuk bekerja karena itu, sementara yang lain bisa manfaat dari itu.

ssl postfix dovecot ocsp comfreak
sumber
AFAIK, postfix tidak memiliki cara untuk menjangkau server OCSP. Apa yang mempengaruhi harus memiliki pokok tidak jelas bagi saya. Pertanyaan bagus.
Aaron
@ Harun: Menurut RFC 7633 itu akan menyebabkan kegagalan langsung di sisi klien, jika server tidak memberikan status OCSP yang berlaku dijepit ke respon, mengingat klien benar-benar peduli.
comfreak
2
FYI: Anda dapat menggunakan s_client OpenSSL untuk memeriksa apakah itu berfungsi openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Server Dovecot saya tidak memiliki stapel, jadi saya juga ingin tahu cara mengaturnya, jika memungkinkan.)
derobert
Merayapi web hanya menampilkan hasil yang postfix dan dovecot tidak mendukung stapel OCSP. Apakah itu cukup untuk Anda?
reichhart

Jawaban:

4

Pada 2017-10, No .

Dovecot tidak memiliki dukungan OCSP apa pun , pada 2016 sedang mempertimbangkan fitur untuk rilis di masa depan , tidak ada pekerjaan yang dilakukan sejak itu.

Postfix tidak memiliki dukungan OCSP apa pun , dan pada 2017 tidak berencana untuk pernah mengimplementasikan fitur tersebut .

Exim dapat memberikan respons OCSP kepada klien , namun memperolehnya belum menjadi tugas admin.

Argumen utama yang menentang penambahan dukungan tersebut adalah:

  1. Fitur keamanan harus sederhana sehingga mereka memiliki manfaat lebih daripada risiko tambahan. OCSP sangat kompleks. Validitas sertifikat pendek sederhana dan mengurangi masalah yang sama.
  2. Masalah Chicken-Egg dari dukungan OCSP di server sepenuhnya tidak berguna sampai MUA menambahkan dukungan tersebut.

Ini tidak menghalangi penggunaan must-staplesertifikat di server web. Hanya saja opsi diaktifkan pada sertifikat server web Anda (mis. www.example.com) Dan dinonaktifkan pada sertifikat server email Anda (mis mail1.example.com.).

Peringatan: Jika dukungan pada akhirnya diaktifkan di server yang Anda inginkan, jangan harap mereka juga memvalidasi OCSP yang mereka kirim (misalnya, nginx memiliki fitur opsional, fitur default-off ssl_stapling_verifyuntuk tujuan tersebut). Berbicara dari pengalaman, responden OCSP sesekali mengembalikan hal-hal aneh, bahwa (jika server Anda tanpa syarat meneruskannya tidak dicentang) akan memutus hubungan MUA klien Anda, padahal sebenarnya tanggapan terakhir kedua akan baik-baik saja.

anx
sumber