Unterstützen Postfix und Dovecot das OCSP-Heften?

10

Da ich das Attribut "must staple" in meinen SSL-Zertifikaten festlegen möchte, habe ich einige Nachforschungen angestellt, um herauszufinden, ob alle meine Dienste das OCSP-Heften unterstützen. Bisher habe ich herausgefunden, dass Apache dies tut, was ich mit SSLLabs.com bestätigen konnte.

Abgesehen davon konnte ich nicht bestätigen, ob meine beiden anderen Dienste (SMTP und IMAP) auch das OCSP-Heften unterstützen. Meine Frage ist nun, ob Postfix und Dovecot dies auch unterstützen.

PS: Ich weiß, dass Zertifikate für den Posttransport nicht entscheidend zu sein scheinen, aber ich möchte mögliche Probleme vermeiden, wenn ich das Attribut hinzufüge und ein Client sich aus diesem Grund möglicherweise weigert, zu arbeiten, während andere dies könnten davon profitieren.

ssl postfix dovecot ocsp comfreak
quelle
AFAIK, Postfix hat keine Möglichkeit, OCSP-Server zu erreichen. Welche Auswirkungen die Mostheftklammer haben wird, ist mir nicht klar. Gute Frage.
Aaron
@Aaron: Laut RFC 7633 führt dies auf der Clientseite zu einem sofortigen Fehler, wenn der Server keinen gültigen OCSP-Status bereitstellt, der an die Antwort angeheftet ist, vorausgesetzt, der Client kümmert sich tatsächlich darum.
Comfreak
2
Zu Ihrer Information: Sie können den s_client von OpenSSL verwenden, um zu überprüfen, ob er wie folgt funktioniert openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Mein Dovecot-Server hat keine Heftung, daher würde ich gerne wissen, wie man ihn auch einrichtet, wenn es möglich ist.)
derobert
Das Crawlen des angezeigten Webs führt nur dazu, dass Postfix und Dovecot das OCSP-Heften nicht unterstützen. Ist es für dich ausreichend?
Reichhart

Antworten:

4

Stand 2017-10, Nr .

Dovecot keine OCSP Unterstützung auch immer hat , ab 2016 die Funktion für eine zukünftige Version erwog , wurde auf , dass , da keine Arbeit geleistet.

Postfix hat keine OCSP Unterstützung auch immer , und ab 2017 ist nicht immer planen, jemals eine solche Funktion zu implementieren .

Exim kann Kunden eine OCSP-Antwort geben , die Beschaffung dieser Antwort bleibt jedoch dem Administrator als Übung überlassen.

Die Hauptargumente gegen das Hinzufügen einer solchen Unterstützung sind:

  1. Sicherheitsfunktionen sollten einfach sein, damit sie mehr Nutzen als zusätzliche Risiken haben. OCSP ist komplex. Die kurze Gültigkeit eines Zertifikats ist einfach und verringert das gleiche Problem.
  2. Das Chicken-Egg-Problem der OCSP-Unterstützung auf Servern ist völlig nutzlos, bis MUAs eine solche Unterstützung hinzufügen.

Dies behindert nicht die Verwendung von must-stapleZertifikaten auf Webservern. Lassen Sie einfach die Option auf Ihrem Webserver-Zertifikat (z. B. www.example.com) aktiviert und auf Ihrem Mailserver-Zertifikat (z mail1.example.com. B. ) deaktiviert sein .

Warnung: Wenn die Unterstützung auf Ihren gewünschten Servern eventuell aktiviert ist, erwarten Sie nicht, dass diese die von ihnen gesendeten OCSP-Antworten validieren (z. B. verfügt nginx über eine optionale Standard-Aus-Funktion ssl_stapling_verifyfür solche Zwecke). Erfahrungsgemäß geben OCSP-Responder gelegentlich die seltsamsten Dinge zurück, die (wenn Ihr Server sie bedingungslos weiterleitet) die MUAs Ihrer Clients trennen, obwohl die zweitletzte Antwort in Ordnung gewesen wäre.

angst
quelle