Postfix et Dovecot prennent-ils en charge l'agrafage OCSP?

10

Étant donné que je voudrais définir l'attribut "incontournable" dans mes certificats SSL, je faisais des recherches pour savoir si tous mes services prennent en charge l'agrafage OCSP. Jusqu'à présent, j'ai découvert que Apache le faisait, ce que j'ai pu confirmer en utilisant SSLLabs.com.

Mais à part cela, je n'ai pas pu confirmer si mes deux autres services (SMTP et IMAP) prennent également en charge l'agrafage OCSP. Maintenant ma question est, Postfix et Dovecot le supportent-ils également?

PS: Je sais que les certificats ne semblent pas être cruciaux en ce qui concerne le transport du courrier, mais je voudrais éviter tout problème possible, si j'ajoute l'attribut et qu'un client pourrait refuser de travailler à cause de cela, tandis que d'autres pourraient en bénéficier.

comfreak
la source
AFAIK, postfix n'a aucun moyen d'atteindre les serveurs OCSP. L'effet qu'aura l'aliment de base indispensable n'est pas clair pour moi. Bonne question.
Aaron
@Aaron: Selon la RFC 7633, cela entraînera une défaillance immédiate du côté client, si le serveur ne fournit pas un état OCSP valide agrafé à la réponse, étant donné que le client se soucie réellement.
comfreak
2
FYI: Vous pouvez utiliser s_client d'OpenSSL pour vérifier si cela fonctionne comme openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Mon serveur Dovecot n'a pas d'agrafage, donc j'aimerais savoir comment le configurer aussi, si c'est possible.)
derobert
L'analyse du Web n'affichait que les résultats selon lesquels postfix et dovecot ne prennent pas en charge l'agrafage OCSP. Cela vous suffit-il?
reichhart

Réponses:

4

En 2017-10, non .

Dovecot ne dispose d'aucune prise en charge OCSP , depuis 2016 envisageait la fonctionnalité d'une future version , aucun travail n'a été fait depuis.

Postfix ne dispose d'aucune prise en charge OCSP et, à partir de 2017, ne prévoit jamais de mettre en œuvre une telle fonctionnalité .

Exim peut fournir aux clients une réponse OCSP , mais l'acquisition de celle-ci est encore laissée à l'administrateur.

Les principaux arguments contre l'ajout d'un tel support sont:

  1. Les fonctionnalités de sécurité doivent être simples afin d'avoir plus d'avantages que de risques supplémentaires. OCSP est complexe. La validité du certificat court est simple et atténue le même problème.
  2. Le problème Chicken-Egg du support OCSP dans les serveurs étant entièrement inutile jusqu'à ce que les MUA ajoutent un tel support.

Cela n'entrave pas l'utilisation des must-staplecertificats dans les serveurs Web. Ayez simplement l'option activée sur votre certificat de serveur Web (par exemple www.example.com) et désactivée sur votre certificat de serveur de messagerie (par exemple mail1.example.com).

Avertissement: Si la prise en charge est éventuellement activée sur vos serveurs souhaités, ne vous attendez pas à ce qu'ils valident les réponses OCSP qu'ils envoient (par exemple, nginx a une fonction facultative désactivée par défaut ssl_stapling_verifyà ces fins). En parlant d'expérience, les répondeurs OCSP retournent parfois les choses les plus étranges, qui (si votre serveur les transmet inconditionnellement sans contrôle) déconnecteront les MUA de vos clients, alors qu'en fait la deuxième réponse la plus récente aurait été correcte.

anx
la source