PostfixとDovecotはOCSPステープリングをサポートしていますか？

私はSSL証明書に「必須」属性を設定したいので、すべてのサービスがOCSPステープリングをサポートしているかどうかを調べるために調査を行っていました。これまでのところ、SSLLabs.comを使用して確認できるApacheが実行していることがわかりました。

しかし、それとは別に、他の2つのサービス（SMTPとIMAP）もOCSPステープリングをサポートしているかどうかは確認できませんでした。今私の質問は、PostfixとDovecotもそれをサポートしていますか？

PS：メールトランスポートに関しては、証明書は重要ではないようですが、属性を追加すると、クライアントがそのために作業を拒否する可能性がある場合、問題が発生するのを避けたいと思います。それから利益を得る。

2017-10現在、いいえ。

Dovecot はOCSPをサポートしていません。2016年の時点で、将来のリリースの機能を検討していたため、それ以降の作業は行われていません。

Postfixは 一切OCSPをサポートしていない、と2017年の時点で、これまですることを計画していない今まで、このような機能を実装します。

EximはクライアントにOCSP応答を提供できますが、それを取得することはまだ管理者への課題として残されています。

そのようなサポートを追加することに対する主な議論は次のとおりです。

1. セキュリティ機能はシンプルでなければならず、追加されたリスクよりも多くの利点があります。OCSPは複雑です。短い証明書の有効性は単純であり、同じ問題を軽減します。
2. サーバーでのOCSPサポートのチキンエッグ問題は、MUAがそのようなサポートを追加するまでまったく役に立たない。

これはmust-staple、Webサーバーでの証明書の使用を妨げません。Webサーバー証明書（例：）でオプションを有効にwww.example.comし、メールサーバー証明書（例：）でオプションを無効にしますmail1.example.com。

警告：目的のサーバーでサポートが最終的に有効になる場合、それらが送信するOCSP共振を検証することも期待しないでください（たとえば、nginxには、ssl_stapling_verifyそのような目的のためのオプションのデフォルトオフ機能があります）。経験から言えば、OCSPレスポンダーは時々奇妙なことを返します。これは（サーバーが無条件にそれらをチェックされずに転送した場合）実際に2番目の最新の応答が問題なかったときにクライアントMUAを切断します。