Postfix e Dovecot supportano la pinzatura OCSP?

10

Dal momento che vorrei impostare l'attributo "must staple" nei miei certificati SSL, stavo facendo alcune ricerche per scoprire se tutti i miei servizi supportano la pinzatura OCSP. Finora ho scoperto che Apache fa ciò che sono stato in grado di confermare usando SSLLabs.com.

A parte questo, non sono stato in grado di confermare se i miei altri due servizi (SMTP e IMAP) supportano anche la pinzatura OCSP. Ora la mia domanda è: Postfix e Dovecot lo supportano?

PS: So che i certificati non sembrano essere cruciali quando si tratta di trasporto di posta, ma vorrei evitare eventuali problemi, se aggiungo l'attributo e un client potrebbe rifiutarsi di lavorare a causa di ciò, mentre altri potrebbero trarne beneficio.

ssl  postfix  dovecot  ocsp 
comfreak
fonte
AFAIK, postfix non ha modo di raggiungere i server OCSP. Non mi è chiaro quale effetto avrà la graffetta indispensabile. Buona domanda.
Aaron,
@Aaron: Secondo RFC 7633, si verificherà un errore immediato sul lato client, se il server non fornisce uno stato OCSP valido pinzato alla risposta, dato che il client si preoccupa effettivamente.
comfreak
2
Cordiali saluti: È possibile utilizzare s_client di OpenSSL per verificare se funziona come openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Il mio server Dovecot non ha pinzatura, quindi mi piacerebbe sapere come configurarlo, se possibile.)
derobert
La scansione del Web mostrava solo risultati che postfix e dovecot non supportano la pinzatura OCSP. È sufficiente per te?
Reichhart,

Risposte:

4

A partire dal 2017-10, n .

Dovecot non ha alcun supporto OCSP di sorta , a partire dal 2016 stava considerando la funzionalità per una versione futura , da allora non è stato fatto alcun lavoro su questo.

Postfix non ha alcun supporto OCSP e dal 2017 non prevede di implementare mai tale funzionalità .

Exim è in grado di fornire ai clienti una risposta OCSP , ma l'acquisizione di tali dati è ancora lasciata come esercizio per l'amministratore.

Gli argomenti principali contro l'aggiunta di tale supporto sono:

  1. Le funzionalità di sicurezza dovrebbero essere semplici in modo da avere maggiori vantaggi rispetto ai rischi aggiunti. OCSP è complesso. La validità del certificato breve è semplice e mitiga lo stesso problema.
  2. Il problema Chicken-Egg del supporto OCSP nei server è del tutto inutile fino a quando i MUA non aggiungono tale supporto.

Ciò non ostacola l'utilizzo dei must-staplecertificati nei server Web. Basta abilitare l'opzione sul certificato del server Web (ad es. www.example.com) E disabilitata sul certificato del server di posta (ad es mail1.example.com.).

Avvertenza: se il supporto alla fine è abilitato nei server desiderati, non aspettatevi che anche loro convalidino le risonanze OCSP che inviano (ad esempio, nginx ha una funzione opzionale di default ssl_stapling_verifyper tali scopi). Parlando per esperienza, i rispondenti OCSP occasionalmente restituiscono le cose più strane, che (se il tuo server li inoltra incondizionatamente senza controllo) disconnetterà i MUA dei tuoi clienti, quando in realtà la seconda risposta più recente sarebbe andata bene.

ANX
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.