Postfix和Dovecot是否支持OCSP装订？

由于我想在SSL证书中设置“必须订书钉”属性，因此我进行了一些研究以发现我的所有服务是否都支持OCSP装订。到目前为止，我发现Apache可以使用SSLLabs.com进行确认。

但是除此之外，我无法确认我的其他两个服务（SMTP和IMAP）是否也支持OCSP装订。现在我的问题是，Postfix和Dovecot是否也支持它？

PS：我知道证书对于邮件传输似乎并不重要，但是我想避免任何可能的问题，如果我添加了属性，并且客户端可能因此而拒绝工作，而其他人可能会拒绝工作。从中受益。

截至2017年10月，没有。

Dovecot 完全没有任何OCSP支持，截至2016年，它正在考虑将来发布的功能，此后未进行任何工作。

后缀 没有任何OCSP支持任何，和2017年不打算以往任何时候都曾经实现这样的功能。

Exim可以为客户提供OCSP响应，但是获取该响应仍是管理员的一项练习。

反对增加这种支持的主要论点是：

1. 安全功能应简单易行，因此它们比增加的风险具有更多的好处。OCSP很复杂。简短的证书有效期很简单，可以缓解相同的问题。
2. 在MUA添加此类支持之前，服务器中OCSP支持的Chicken-Egg问题完全没有用。

这并不妨碍must-stapleWeb服务器中证书的使用。只需在您的Web服务器证书（例如www.example.com）上启用该选项，并在您的邮件服务器证书（例如mail1.example.com）上禁用该选项。

警告：如果最终在所需的服务器中启用了支持，也不要期望它们验证发送的OCSP响应（例如，nginx为此具有可选的默认关闭功能ssl_stapling_verify）。从经验上讲，OCSP响应者偶尔会返回最奇怪的东西（如果您的服务器无条件转发它们而不进行检查），则将断开您的客户MUA的连接，而实际上第二次最新响应就可以了。