Postfix와 Dovecot는 OCSP 스테이플 링을 지원합니까?


10

SSL 인증서에서 "스테이플 필수"속성을 설정하고 싶기 때문에 모든 서비스가 OCSP 스테이플 링을 지원하는지 알아 내기 위해 몇 가지 조사를하고있었습니다. 지금까지 아파치가 SSLLabs.com을 사용하여 확인할 수 있다는 것을 알았습니다.

그러나 그 밖의 두 서비스 (SMTP 및 IMAP)도 OCSP 스테이플 링을 지원하는지 확인할 수 없었습니다. 이제 내 질문은 Postfix와 Dovecot도 지원합니까?

추신 : 메일 전송과 관련하여 인증서가 중요하지 않다는 것을 알고 있지만 속성을 추가하고 클라이언트가 그로 인해 작업을 거부 할 수있는 경우 다른 문제는 피할 수있는 경우 가능한 문제를 피하고 싶습니다. 그것으로부터 이익을 얻으십시오.


AFAIK, postfix는 OCSP 서버에 연결할 수있는 방법이 없습니다. 꼭 필요한 주식에 영향을 미치는 것은 분명하지 않습니다. 좋은 질문.
Aaron

@Aaron : RFC 7633에 따르면 클라이언트가 실제로 관리하는 경우 서버가 응답에 스테이플 링 된 유효한 OCSP 상태를 제공하지 않으면 클라이언트 측에서 즉시 실패하게됩니다.
comfreak

2
참고 : OpenSSL의 s_client를 사용하여 작동하는지 확인할 수 있습니다 openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Dovecot 서버에는 스테이플 링이 없으므로 가능한 경우 설정 방법도 알고 싶습니다.)
derobert

웹 크롤링은 postfix 및 dovecot가 OCSP 스테이플 링을 지원하지 않는 결과 만 표시했습니다. 당신에게 충분합니까?
reichhart

답변:


4

2017-10 현재, 아니요 .

비둘기장은 어떠한 OCSP를 지원하지 않는 , 미래의 릴리스에 대한 기능을 고려하고 2016로 , 어떤 작품은 그 이후에 수행되지 않았습니다.

후위는 어떠한 OCSP 지원이없는 , 그리고 2017으로 지금에에 계획되지 않은 지금 같은 기능을 구현을 .

Exim클라이언트에게 OCSP 응답을 제공 할 수 있지만이를 획득하는 것은 아직 관리자의 연습으로 남아 있습니다.

이러한 지원 추가에 대한 주요 주장은 다음과 같습니다.

  1. 보안 기능은 단순해야 추가 위험보다 더 많은 이점을 얻을 수 있습니다. OCSP는 복잡합니다. 짧은 인증서 유효성은 간단하며 동일한 문제를 완화합니다.
  2. MUA가 그러한 지원을 추가 할 때까지 서버에서 OCSP 지원의 Chicken-Egg 문제는 완전히 쓸모가 없습니다.

must-staple웹 서버에서 인증서 사용을 방해하지는 않습니다 . 웹 서버 인증서 (예 :)에서 옵션을 활성화하고 www.example.com메일 서버 인증서 (예 :)에서 비활성화하십시오 mail1.example.com.

경고 : 원하는 서버에서 결국 지원이 활성화 된 경우, 전송 한 OCSP 공명을 검증 할 것으로 기대하지 마십시오 (예 : nginx에는 ssl_stapling_verify이러한 목적을위한 선택적 기본 꺼짐 기능 이 있습니다). 경험에서 말하면, OCSP 응답자는 때때로 이상한 점을 반환합니다. 서버가 무조건 전달하지 않으면 클라이언트 MUA의 연결이 끊어집니다. 실제로 두 번째 최신 응답은 괜찮을 것입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.