क्या Postfix और Dovecot OCSP स्टेपलिंग का समर्थन करते हैं?


10

चूँकि मैं अपने एसएसएल प्रमाणपत्रों में "स्टेपल स्टेपल" विशेषता को सेट करना चाहूंगा, इसलिए मैं यह जानने के लिए कुछ शोध कर रहा था कि क्या मेरी सभी सेवाएँ OCSP स्टेपलिंग का समर्थन करती हैं। अब तक मुझे पता चला है कि अपाचे वह करता है जिसे मैं SSLLabs.com का उपयोग करके पुष्टि करने में सक्षम था।

लेकिन इसके अलावा, मैं पुष्टि नहीं कर पा रहा था, अगर मेरी दो अन्य सेवाएं (SMTP और IMAP) भी OCSP स्टेपलिंग का समर्थन करती हैं। अब मेरा सवाल यह है कि क्या Postfix और Dovecot भी इसका समर्थन करते हैं?

PS: मुझे पता है कि मेल ट्रांसपोर्ट की बात होने पर सर्टिफिकेट्स महत्वपूर्ण नहीं लगते हैं, लेकिन मैं किसी भी संभावित समस्या से बचना चाहूंगा, अगर मैं इस विशेषता को जोड़ दूं और कोई क्लाइंट उस वजह से काम करने से इंकार कर सकता है, जबकि अन्य कर सकते हैं इससे लाभ होगा।


AFAIK, पोस्टफ़िक्स के पास OCSP सर्वर तक पहुंचने का कोई रास्ता नहीं है। स्टेपल पर क्या प्रभाव पड़ेगा यह मेरे लिए स्पष्ट नहीं है। अच्छा प्रश्न।
हारून

@ एरॉन: आरएफसी 7633 के अनुसार, यह क्लाइंट की तरफ एक तत्काल विफलता का कारण होगा, यदि सर्वर प्रतिक्रिया के लिए स्टेपल किए गए वैध OCSP स्टेटस प्रदान नहीं करता है, तो क्लाइंट को वास्तव में परवाह है।
कॉमफ्रीक

2
FYI करें: आप OpenSSL के s_client का उपयोग यह जांचने के लिए कर सकते हैं कि यह काम कर रहा है या नहीं openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp। (मेरे Dovecot सर्वर स्टैपल, इसलिए मुझे पता है कि यह कैसे सेट अप करना चाहते हैं, भी करता है, तो यह संभव है नहीं है,।)
derobert

वेब को क्रॉल करने पर केवल वही परिणाम दिखाई देते हैं जो पोस्टफ़िक्स और डवकोट OCSP स्टेपलिंग का समर्थन नहीं करते हैं। क्या यह आपके लिए पर्याप्त है?
रीछार्ट

जवाबों:


4

2017-10 के अनुसार, नहीं

Dovecot के पास कोई OCSP समर्थन नहीं है , जो भी 2016 के रूप में भविष्य की रिलीज के लिए सुविधा पर विचार कर रहा था, उस पर कोई काम नहीं किया गया है।

पोस्टफ़िक्स के पास कोई भी OCSP समर्थन नहीं है , और 2017 के रूप में कभी भी इस तरह की सुविधा को लागू करने की योजना नहीं बना रहा है

एक्ज़िम एक OCSP प्रतिक्रिया के साथ ग्राहकों को प्रदान कर सकता है , फिर भी इस तरह के अधिग्रहण को अभी भी व्यवस्थापक के लिए एक अभ्यास के रूप में छोड़ दिया गया है।

इस तरह के समर्थन को जोड़ने के खिलाफ मुख्य तर्क हैं:

  1. सुरक्षा विशेषताएं सरल होनी चाहिए ताकि उन्हें अतिरिक्त जोखिमों की तुलना में अधिक लाभ हो। OCSP जटिल है। लघु प्रमाणपत्र वैधता सरल है और एक ही समस्या को कम करती है।
  2. जब तक MUAs इस तरह का समर्थन नहीं करता तब तक सर्वर में OCSP समर्थन की चिकन-अंडा समस्या पूरी तरह से बेकार है।

यह must-stapleवेब सर्वर में प्रमाण पत्र के उपयोग में बाधा नहीं है। बस आपके वेब सर्वर प्रमाणपत्र (जैसे www.example.com) पर सक्षम विकल्प और आपके मेल सर्वर प्रमाणपत्र (जैसे mail1.example.com) पर अक्षम है ।

चेतावनी: यदि समर्थन अंततः आपके वांछित सर्वर में सक्षम है, तो उनसे यह उम्मीद भी न करें कि वे भेजे गए OCSP प्रतिसादों को मान्य करने के लिए (जैसे, nginx में ssl_stapling_verifyऐसे उद्देश्यों के लिए एक वैकल्पिक, डिफ़ॉल्ट-बंद सुविधा है)। अनुभव से बोलते हुए, OCSP उत्तरदाता कभी-कभी अजीब चीजें लौटाते हैं, कि (यदि आपका सर्वर बिना शर्त उन्हें अनियंत्रित करता है) तो आपके क्लाइंट MUAs को डिस्कनेक्ट कर देंगे, जब वास्तव में दूसरी नवीनतम प्रतिक्रिया ठीक होगी।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.