O Postfix e o Dovecot suportam grampeamento OCSP?

10

Como gostaria de definir o atributo "preciso grampear" em meus certificados SSL, estava pesquisando para descobrir se todos os meus serviços suportam grampeamento OCSP. Até agora descobri que o Apache faz o que pude confirmar usando o SSLLabs.com.

Além disso, não consegui confirmar se meus dois outros serviços (SMTP e IMAP) também suportam o grampeamento OCSP. Agora, minha pergunta é: o Postfix e o Dovecot também o suportam?

PS: Eu sei que os certificados não parecem ser cruciais no que diz respeito ao transporte de correio, mas eu gostaria de evitar possíveis problemas, se adicionar o atributo e um cliente se recusar a trabalhar por causa disso, enquanto outros podem se beneficiar disso.

ssl postfix dovecot ocsp comfreak
fonte
AFAIK, o postfix não tem como acessar os servidores OCSP. O efeito que o grampo deve ter não está claro para mim. Boa pergunta.
Aaron
@ Aaron: De acordo com a RFC 7633, isso causará uma falha imediata no lado do cliente, se o servidor não fornecer um status OCSP válido grampeado para a resposta, dado que o cliente realmente se importa.
comfreak
2
FYI: Você pode usar o s_client do OpenSSL para verificar se está funcionando openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Servidor My Dovecot não tem grampear, então eu gostaria de saber como configurá-lo, também, se é possível.)
derobert
O rastreamento da Web exibiu apenas resultados que postfix e dovecot não suportam grampeamento OCSP. Isso é suficiente para você?
Reichhart

Respostas:

4

A partir de 2017-10, no .

O Dovecot não tem suporte para OCSP , já que em 2016 estava considerando o recurso para uma versão futura , nenhum trabalho foi feito desde então.

O Postfix não tem nenhum suporte para OCSP e, a partir de 2017, não planeja jamais implementar esse recurso .

O Exim pode fornecer aos clientes uma resposta OCSP , mas a aquisição ainda é deixada como um exercício para o administrador.

Os principais argumentos contra a adição de tal suporte são:

  1. Os recursos de segurança devem ser simples, para que tenham mais benefícios que riscos adicionais. OCSP é complexo. A validade curta do certificado é simples e atenua o mesmo problema.
  2. O problema do Egg-Chicken do suporte ao OCSP nos servidores é totalmente inútil até que os MUAs adicionem esse suporte.

Isso não impede o uso de must-staplecertificados em servidores da web. Basta ter a opção ativada no certificado do servidor da web (por exemplo www.example.com) e desativada no certificado do servidor de correio (por exemplo mail1.example.com).

Aviso: Se o suporte, eventualmente, é habilitado em seus servidores desejados, também não esperar que eles para validar os resonses OCSP eles enviam (por exemplo, nginx tem um opcional, característica default-off ssl_stapling_verifypara esses fins). Falando por experiência própria, os respondentes do OCSP ocasionalmente retornam as coisas mais estranhas, que (se o seu servidor os encaminha incondicionalmente desmarcados) desconectam os MUAs de seus clientes, quando na verdade a segunda resposta mais recente teria sido boa.

ansioso
fonte