পোস্টফিক্স এবং ডোভকোট কি ওসিএসপি স্ট্যাপলিং সমর্থন করে?


10

যেহেতু আমি আমার এসএসএল শংসাপত্রগুলিতে "আবশ্যক প্রধান" বৈশিষ্ট্যটি সেট করতে চাই, তাই আমার সমস্ত পরিষেবা ওসিএসপি স্টাপলিকে সমর্থন করে কিনা তা অনুসন্ধান করার জন্য আমি কিছু গবেষণা করছিলাম। এখনও অবধি আমি জানতে পেরেছি যে এপাচি SSLLabs.com ব্যবহার করে যা নিশ্চিত করতে পেরেছিলাম তা করে।

তবে এগুলি ছাড়াও, আমি নিশ্চিত করতে সক্ষম হচ্ছিলাম না, যদি আমার আরও দুটি পরিষেবা (এসএমটিপি এবং আইএমএপি) ওসিএসপি স্ট্যাপলিংকে সমর্থন করে। এখন আমার প্রশ্ন, পোস্টফিক্স এবং ডোভকোটও কি এটি সমর্থন করে?

পিএস: আমি জানি যে মেল পরিবহনের ক্ষেত্রে শংসাপত্রগুলি গুরুত্বপূর্ণ মনে হয় না, তবে আমি কোনও সম্ভাব্য সমস্যা এড়াতে চাই, যদি আমি বৈশিষ্ট্যটি যুক্ত করি এবং কোনও ক্লায়েন্ট সেই কারণে কাজ করতে অস্বীকার করতে পারে তবে অন্যরা পারে এটি থেকে উপকার।


আফাইক, পোস্টফিক্সের ওসিএসপি সার্ভারগুলিতে পৌঁছানোর কোনও উপায় নেই। মুখ্য প্রভাব ফেলতে হবে তা আমার কাছে পরিষ্কার নয়। ভাল প্রশ্ন.
অ্যারন

@ অ্যারোন: আরএফসি 7633 অনুসারে এটি ক্লায়েন্টের পক্ষে তাত্ক্ষণিকভাবে ব্যর্থতার কারণ হতে পারে, যদি ক্লায়েন্টটি প্রকৃতপক্ষে যত্নশীল থাকে তবে সার্ভার প্রতিক্রিয়াটির ভিত্তিতে কোনও বৈধ ওসিএসপি স্থিতি সরবরাহ করে না।
comfreak

2
এফওয়াইআই: আপনি ওপেনএসএসএল এর s_client ব্যবহার করতে পারেন এটি ঠিক কাজ করছে কিনা তা পরীক্ষা করতে openssl s_client -status -connect «mail-server-hostname»:smtp -starttls smtp। (আমার ডোভকোট সার্ভারে স্ট্যাপলিং নেই, তাই আমি যদি এটি সম্ভব হয় তবে এটি কীভাবে সেট আপ করতে হবে তাও জানতে চাই))
ডার্বার্ট

ওয়েব প্রদর্শিত ক্রলিংয়ের ফলাফল কেবল পোস্টফিক্স এবং ডোভকোট ওসিএসপি স্ট্যাপলিংকে সমর্থন করে না। এটা কি আপনার পক্ষে যথেষ্ট?
রিচার্ট

উত্তর:


4

2017-10 হিসাবে, না

ডোভকোটের কাছে কোনও ওসিএসপি সমর্থন নেই , ২০১ 2016 সালের হিসাবে ভবিষ্যতের মুক্তির জন্য বৈশিষ্ট্যটি বিবেচনা করা হচ্ছে , এর পরে আর কোনও কাজ করা হয়নি।

পোস্টফিক্সের কোনও ওসিএসপি সমর্থন নেই , এবং 2017 এর আগে কখনও এই জাতীয় বৈশিষ্ট্যটি প্রয়োগ করার পরিকল্পনা নেই

এক্সিম করতে একটি OCSP প্রতিক্রিয়া সঙ্গে ক্লায়েন্টদের প্রদান , এখনো এই ধরনের অর্জন এখনো প্রশাসক থেকে একটি ব্যায়াম যেমন ছেড়ে দেওয়া হয়।

এই ধরনের সমর্থন যুক্ত করার বিরুদ্ধে মূল যুক্তিগুলি হ'ল:

  1. সুরক্ষা বৈশিষ্ট্যগুলি সহজ হওয়া উচিত যাতে তাদের যুক্ত ঝুঁকির চেয়ে আরও বেশি সুবিধা পাওয়া যায়। ওসিএসপি জটিল। সংক্ষিপ্ত শংসাপত্রের বৈধতা সহজ এবং একই সমস্যাটি প্রশমিত করে।
  2. MUAs যেমন সমর্থন যোগ না করা পর্যন্ত সার্ভারগুলিতে OCSP সমর্থনের চিকেন-ডিম সমস্যা সম্পূর্ণরূপে অকেজো।

এটি must-stapleওয়েব সার্ভারগুলিতে শংসাপত্রের ব্যবহারকে বাধা দেয় না । কেবলমাত্র আপনার ওয়েব সার্ভার শংসাপত্রে (যেমন www.example.com) বিকল্প সক্ষম করা আছে এবং আপনার মেল সার্ভার শংসাপত্রে (যেমন mail1.example.com) অক্ষম করা আছে ।

সতর্কতা: যদি অবশেষে সমর্থনটি আপনার পছন্দসই সার্ভারগুলিতে সক্ষম হয়ে থাকে, তবে তারা যে ওসিএসপি তাদের প্রেরণ করবে তা বৈধতা দেওয়ার আশাও করবেন না (যেমন, এনজিনেক্সের এই ssl_stapling_verifyজাতীয় উদ্দেশ্যে ডিফল্ট-অফ বৈশিষ্ট্য রয়েছে )। অভিজ্ঞতা থেকে কথা বলতে গেলে ওসিএসপি প্রতিক্রিয়াকারীরা মাঝে মাঝে অদ্ভুত জিনিস ফিরিয়ে দেয়, (যদি আপনার সার্ভারটি নিঃশর্তভাবে তাদের অচিহ্নিতভাবে ফরোয়ার্ড করে) আপনার ক্লায়েন্টদের এমইউএ সংযোগ বিচ্ছিন্ন করে দেবে, যখন আসলে দ্বিতীয় সর্বশেষ প্রতিক্রিয়াটি ঠিক ছিল been

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.