由于我想在我的 SSL 证书中设置“必须装订”属性,因此我正在做一些研究以了解我的所有服务是否都支持 OCSP 装订。到目前为止,我发现 Apache 确实可以使用 SSLLabs.com 进行确认。
但除此之外,我无法确认我的其他两个服务(SMTP 和 IMAP)是否也支持 OCSP 装订。现在我的问题是,Postfix 和 Dovecot 是否也支持它?
PS:我知道证书在邮件传输方面似乎并不重要,但我想避免任何可能的问题,如果我添加属性并且客户端可能因此拒绝工作,而其他人可以从中受益。
AskOverflow.Dev
截至 2017 年 10 月,没有。
Dovecot 没有任何 OCSP 支持,截至 2016 年,它一直在考虑未来版本的功能,此后没有做任何工作。
Postfix 没有任何 OCSP 支持,截至2017 年也不打算实现此类功能。
Exim可以为客户提供 OCSP 响应,但获取此类响应仍留给管理员作为练习。
反对增加这种支持的主要论据是:
这并不妨碍
must-staple在 Web 服务器中使用证书。只需在您的网络服务器证书上启用该选项(例如www.example.com)并在您的邮件服务器证书上禁用该选项(例如mail1.example.com)。警告:如果最终在您想要的服务器中启用了支持,不要期望它们验证它们发送的 OCSP 响应(例如,nginx 有一个可选的默认关闭功能
ssl_stapling_verify用于此类目的)。根据经验,OCSP 响应者偶尔会返回最奇怪的东西,(如果您的服务器无条件地转发它们未经检查)将断开您的客户端 MUA,而实际上第二个最新的响应会很好。