com*_*eak 10 ssl postfix dovecot ocsp
由于我想在我的 SSL 证书中设置“必须装订”属性,我正在做一些研究,以确定我的所有服务是否都支持 OCSP 装订。到目前为止,我发现 Apache 可以使用 SSLLabs.com 进行确认。
但除此之外,我无法确认我的其他两个服务(SMTP 和 IMAP)是否也支持 OCSP 装订。现在我的问题是,Postfix 和 Dovecot 是否也支持它?
PS:我知道证书在邮件传输方面似乎并不重要,但我想避免任何可能的问题,如果我添加属性并且客户端可能因此拒绝工作,而其他人可能从中受益。
截至 2017-10 年,没有。
Dovecot 没有任何 OCSP 支持,截至 2016 年正在考虑未来版本的功能,此后没有做任何工作。
Postfix 没有任何 OCSP 支持,并且截至 2017 年不打算永远实现此类功能。
Exim可以为客户提供 OCSP 响应,但获取此类响应还留给管理员练习。
反对添加此类支持的主要论点是:
这并不妨碍must-staple在 Web 服务器中使用证书。只需在您的 Web 服务器证书(例如www.example.com)上启用该选项并在您的邮件服务器证书(例如mail1.example.com)上禁用该选项。
警告:如果最终在您想要的服务器中启用了支持,不要期望它们也验证它们发送的 OCSP 响应(例如,nginx 具有ssl_stapling_verify用于此类目的的可选的默认关闭功能)。从经验来看,OCSP 响应程序偶尔会返回最奇怪的东西,即(如果您的服务器无条件地转发它们而不进行检查)将断开您的客户端 MUA,而实际上第二个最新的响应就可以了。
| 归档时间: |
|
| 查看次数: |
3547 次 |
| 最近记录: |