Поскольку я хотел бы установить атрибут «обязательное сшивание» в своих сертификатах SSL, я провел некоторое исследование, чтобы выяснить, все ли мои службы поддерживают сшивание OCSP. Пока я узнал, что Apache делает, что я смог подтвердить с помощью SSLLabs.com.
Но кроме этого, я не смог подтвердить, поддерживают ли две другие мои службы (SMTP и IMAP) сшивание OCSP. Теперь у меня вопрос, поддерживают ли его также Postfix и Dovecot?
PS: Я знаю, что сертификаты не имеют решающего значения, когда дело доходит до почтового транспорта, но я хотел бы избежать любых возможных проблем, если я добавлю атрибут, и клиент может отказаться работать из-за этого, в то время как другие могут извлекать из этого пользу.
По состоянию на 2017-10 гг. Нет.
Dovecot не имеет никакой поддержки OCSP, по состоянию на 2016 год рассматривал эту функцию для будущего выпуска, с тех пор над этим не велось никаких работ.
Постфикс не имеет никакой поддержки OCSP, и с 2017 года не планирует когда-либо Когда-либо реализовать такую функцию.
Exim жестяная банка предоставить клиентам ответ OCSP, но их получение пока оставлено в качестве упражнения для администратора.
Основными аргументами против добавления такой поддержки являются:
Это не мешает использованию must-staple сертификаты на веб-серверах. Просто включите эту опцию в сертификате вашего веб-сервера (например, www.example.com) и отключен в сертификате вашего почтового сервера (например, mail1.example.com).
Предупреждение: Если поддержка в конечном итоге будет включена на желаемых серверах, не ожидайте, что они будут проверять отправляемые ими резонансы OCSP (например, nginx имеет дополнительную функцию, отключенную по умолчанию. ssl_stapling_verify для таких целей). Исходя из опыта, респонденты OCSP иногда возвращают самые странные вещи, которые (если ваш сервер безоговорочно пересылает их непроверенными) отключат ваших клиентов MUA, тогда как на самом деле второй последний ответ был бы нормальным.