由于我想在 SSL 证书中设置“must staple”属性,因此我做了一些研究,以查明我的所有服务是否都支持 OCSP 装订。到目前为止,我发现 Apache 支持,我可以使用 SSLLabs.com 进行确认。
但除此之外,我无法确认我的其他两个服务(SMTP 和 IMAP)是否也支持 OCSP 装订。现在我的问题是,Postfix 和 Dovecot 是否也支持它?
附言:我知道在邮件传输方面证书似乎并不重要,但如果我确实添加了该属性,我想避免任何可能的问题,客户端可能会因此拒绝工作,而其他人可以从中受益。
答案1
截至 2017-10 年,不。
多夫科特 没有任何 OCSP 支持,2016 年起,我们开始考虑将该功能纳入未来版本,此后再没有开展任何相关工作。
后缀 没有任何 OCSP 支持, 和截至 2017 年,没有计划曾经实现这样的功能。
进出口能向客户提供 OCSP 响应但获取这些信息仍留给管理员去做。
反对增加此类支持的主要论点是:
- 安全功能应该简单,这样它们的好处就多于增加的风险。OCSP 很复杂。证书有效期短很简单,可以缓解同样的问题。
- 存在一个先有鸡还是先有蛋的问题,即服务器中的 OCSP 支持完全无用,直到 MUA 添加此类支持为止。
must-staple这并不妨碍在网络服务器中使用证书。只需在您的 Web 服务器证书(例如)上启用该选项www.example.com并在您的邮件服务器证书(例如mail1.example.com)上禁用该选项即可。
警告:如果您所需的服务器最终启用了支持,也不要指望它们会验证它们发送的 OCSP 响应(例如,nginx 有一个可选的默认关闭功能,ssl_stapling_verify可用于此类目的)。从经验上讲,OCSP 响应器偶尔会返回最奇怪的东西,(如果您的服务器无条件地转发它们而不进行检查)会断开您的客户端 MUA,而实际上第二个最新的响应是没问题的。