由于我想在我的SSL证书中设置“必须主要”属性,所以我正在做一些研究,以确定我的所有服务是否支持OCSP装订。 到目前为止,我发现Apache能够使用SSLLabs.com进行确认。
但除此之外,我无法确认,如果我的两个其他服务(SMTP和IMAP)也支持OCSP订书机。 现在我的问题是,Postfix和Dovecot也支持它吗?
PS:我知道证书在邮件传输方面看起来并不重要,但是我想避免任何可能的问题,如果我添加了这个属性,客户端可能会因此而拒绝工作,而其他人可能会从中受益。
截至2017年10月, 没有 。
Dovecot 没有任何OCSP支持 ,但正在考虑未来版本的function 。
Postfix 没有任何OCSP支持 。
Exim可以为客户提供一个OCSP响应 ,但是这样的收购还是留给了pipe理员。
在imap&smtp服务器添加支持之前,没有理由推迟为您的Web服务器激活必备证书。 只需在您的Web服务器证书(例如www.example.com )上启用该选项,并在您的邮件服务器证书(例如mail1.example.com )上禁用该选项。
警告:如果最终在所需的服务器上启用了支持,那么也不要期望它们validation它们发送的OCSP的响应(例如,nginx具有用于此目的的可选的默认closuresfunctionssl_stapling_verify )。 从经验上讲,OCSP响应者偶尔会回复最奇怪的事情,(如果你的服务器无条件地转发他们)将断开你的客户端MUA,事实上,第二个最新的响应将会很好。