Postfix ve Dovecot OCSP zımbalamayı destekliyor mu?

10

SSL sertifikalarımda "zımbalama zorunluluğu" özelliğini ayarlamak istediğim için, tüm hizmetlerimin OCSP zımbalamayı destekleyip desteklemediğini öğrenmek için biraz araştırma yapıyordum. Şimdiye kadar, Apache'nin SSLLabs.com kullanarak onaylayabildiğimi öğrendim.

Ancak bunun dışında, diğer iki hizmetimin (SMTP ve IMAP) OCSP zımbalamasını da destekleyip desteklemediğini doğrulayamadım. Şimdi sorum şu, Postfix ve Dovecot da destekliyor mu?

Not: Posta taşımacılığı söz konusu olduğunda sertifikaların çok önemli görünmediğini biliyorum, ancak özniteliği eklersem ve bu nedenle bir istemci bu nedenle çalışmayı reddedebilirse, olası sorunlardan kaçınmak istiyorum. bundan yararlanın.

ssl  postfix  dovecot  ocsp 
comfreak
kaynak
AFAIK, postfix'in OCSP sunucularına ulaşmasının bir yolu yok. Zımbanın sahip olması gereken şey benim için net değil. İyi soru.
Aaron
@Aaron: RFC 7633'e göre, istemci gerçekten önem verdiği göz önüne alındığında, sunucu yanıt için zımbalanmış geçerli bir OCSP durumu sağlamazsa, istemci tarafında hemen bir hataya neden olur.
comfreak
2
Bilginize: OpenSSL'nin s_client işlevini kullanarak çalışıp çalışmadığını kontrol edebilirsiniz openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp. (Dovecot sunucumda zımbalama yok, bu yüzden mümkünse nasıl ayarlayacağımı bilmek istiyorum.)
derobert
Web'de tarama yapıldığında yalnızca postfix ve dovecot'un OCSP zımbalamasını desteklemediği sonuçlar görüntülenir. Senin için yeterli mi?
reichhart

Yanıtlar:

4

2017-10 itibariyle, Hayır .

Dovecot'un herhangi bir OCSP desteği yok , 2016'dan itibaren gelecekteki bir sürümün özelliğini düşünüyor, o zamandan beri bu konuda herhangi bir çalışma yapılmadı.

Postfix'in herhangi bir OCSP desteği yok ve 2017 itibariyle bu özelliği hiç uygulamayı düşünmüyor .

Exim , müşterilere bir OCSP yanıtı sağlayabilir , ancak bunu elde etmek henüz yöneticiye bir alıştırma olarak bırakılmıştır.

Bu tür destek eklemeye karşı ana argümanlar:

  1. Güvenlik özellikleri basit olmalı, böylece ilave risklerden daha fazla fayda sağlarlar. OCSP karmaşıktır. Kısa sertifika geçerliliği basittir ve aynı sorunu azaltır.
  2. MUA'lar bu tür destek ekleyene kadar sunuculardaki OCSP desteğinin Chicken-Egg sorunu tamamen işe yaramaz.

Bu, must-stapleweb sunucularında sertifika kullanımını engellemez . Bu seçeneği web sunucusu sertifikanızda (ör. www.example.com) Etkinleştirmeniz ve posta sunucusu sertifikanızda (ör. mail1.example.com) Devre dışı bırakmanız yeterlidir .

Uyarı: İstediğiniz sunucularda destek sonunda etkinleştirilirse, gönderdikleri OCSP yankılarını doğrulamalarını da beklemeyin (ör. Nginx, ssl_stapling_verifybu gibi amaçlar için isteğe bağlı, varsayılan bir kapatma özelliğine sahiptir ). Deneyimden bahsetmişken, OCSP yanıtlayıcıları bazen en garip şeyleri döndürürler (eğer sunucunuz koşulsuz olarak onları işaretlemezse), aslında en son ikinci yanıtın iyi olacağı durumlarda müşterilerinizin MUA'larının bağlantısını kesecektir.

anx
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.