Postfix และ Dovecot รองรับการเย็บเล่ม OCSP หรือไม่


10

เนื่องจากฉันต้องการตั้งค่าแอตทริบิวต์ "ต้องเย็บเล่ม" ในใบรับรอง SSL ของฉันฉันจึงทำการวิจัยเพื่อค้นหาว่าบริการทั้งหมดของฉันรองรับการเย็บเล่ม OCSP หรือไม่ จนถึงตอนนี้ฉันพบแล้วว่า Apache ทำสิ่งที่ฉันสามารถยืนยันได้โดยใช้ SSLLabs.com

แต่นอกเหนือจากนั้นฉันไม่สามารถยืนยันได้หากบริการอื่น ๆ ของฉัน (SMTP และ IMAP) รองรับการเย็บเล่ม OCSP ด้วย ตอนนี้คำถามของฉันคือ Postfix และ Dovecot รองรับหรือไม่

PS: ฉันรู้ว่าใบรับรองดูเหมือนจะไม่สำคัญเมื่อมาถึงการขนส่งทางไปรษณีย์ แต่ฉันต้องการหลีกเลี่ยงปัญหาใด ๆ ที่เป็นไปได้ถ้าฉันเพิ่มคุณลักษณะและลูกค้าอาจปฏิเสธที่จะทำงานเพราะสิ่งนั้นในขณะที่คนอื่น ๆ สามารถทำได้ ได้ประโยชน์จากมัน


AFAIK, postfix ไม่มีทางที่จะเข้าถึงเซิร์ฟเวอร์ OCSP ได้ สิ่งที่ส่งผลกระทบต่อวัตถุดิบหลักจะต้องไม่ชัดเจนสำหรับฉัน คำถามที่ดี.
แอรอน

@Aaron: ตาม RFC 7633 มันจะทำให้เกิดความล้มเหลวทันทีในฝั่งไคลเอ็นต์ถ้าเซิร์ฟเวอร์ไม่ได้ให้สถานะ OCSP ที่ถูกต้องถูกเย็บเล่มเพื่อตอบสนองให้ลูกค้าใส่ใจจริง ๆ
comfreak

2
FYI: คุณสามารถใช้ s_client ของ OpenSSL เพื่อตรวจสอบว่าใช้งานopenssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtpได้หรือไม่ (เซิร์ฟเวอร์ของฉัน Dovecot ไม่ได้เย็บดังนั้นผมอยากจะทราบวิธีการตั้งค่าด้วยถ้าเป็นไปได้.)
derobert

การรวบรวมข้อมูลเว็บแสดงเฉพาะผลลัพธ์ที่ postfix และ dovecot ไม่สนับสนุนการเย็บเล่ม OCSP มันเพียงพอสำหรับคุณหรือไม่
reichhart

คำตอบ:


4

ในฐานะของ 2017-10, ไม่มี

Dovecot ไม่ได้สนับสนุน OCSP ใด ๆ , เป็น 2016 ได้รับการพิจารณาจากคุณลักษณะสำหรับการเปิดตัวในอนาคตไม่มีการทำงานได้รับการดำเนินการเกี่ยวกับว่าตั้งแต่

Postfix ไม่ได้สนับสนุน OCSP ใด ๆและเป็น 2017 ไม่ได้วางแผนที่จะเคยเคยใช้คุณลักษณะดังกล่าว

เอ็กซิมสามารถให้บริการลูกค้าด้วยการตอบกลับแบบ OCSPแต่การได้มาดังกล่าวยังคงเป็นการออกกำลังกายต่อผู้ดูแลระบบ

ข้อโต้แย้งหลักต่อการเพิ่มการสนับสนุนเช่น:

  1. คุณลักษณะด้านความปลอดภัยควรเป็นเรื่องง่ายเพื่อให้มีประโยชน์มากกว่าความเสี่ยงที่เพิ่มเข้ามา OCSP นั้นซับซ้อน ความถูกต้องของใบรับรองแบบสั้นนั้นง่ายและช่วยลดปัญหาเดียวกันได้
  2. ปัญหา Chicken-Egg ของการสนับสนุน OCSP ในเซิร์ฟเวอร์ไร้ประโยชน์อย่างสิ้นเชิงจนกระทั่ง MUAs เพิ่มการสนับสนุนดังกล่าว

สิ่งนี้ไม่ขัดขวางการใช้must-stapleใบรับรองในเว็บเซิร์ฟเวอร์ เพียงแค่เปิดใช้งานตัวเลือกในใบรับรองเซิร์ฟเวอร์เว็บของคุณ (เช่นwww.example.com) และปิดใช้งานใบรับรองใบรับรองเซิร์ฟเวอร์อีเมลของคุณ (เช่นmail1.example.com)

คำเตือน:หากเปิดใช้งานการสนับสนุนในเซิร์ฟเวอร์ที่คุณต้องการอย่าคาดหวังว่าพวกเขาจะตรวจสอบ OCSP resonses พวกเขาส่ง (เช่น nginx มีคุณสมบัติตัวเลือกเริ่มต้นออกssl_stapling_verifyเพื่อวัตถุประสงค์ดังกล่าว) จากประสบการณ์ที่ผ่านมาผู้ตอบแบบสอบถาม OCSP จะส่งคืนสิ่งที่แปลกที่สุดบางครั้ง (ถ้าเซิร์ฟเวอร์ของคุณส่งต่อโดยไม่ถูกตรวจสอบ) จะยกเลิกการเชื่อมต่อ MUA ของลูกค้าเมื่อความจริงแล้วการตอบสนองครั้งที่สองครั้งล่าสุดนั้นใช้ได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.