Şifrələmənin gücü biznes üçün informasiya sistemlərindən istifadə edərkən ən vacib göstəricilərdən biridir, çünki onlar hər gün çoxlu sayda məxfi məlumatın ötürülməsində iştirak edirlər. SSL bağlantısının keyfiyyətini qiymətləndirmək üçün ümumi qəbul edilmiş vasitə Qualys SSL Labs tərəfindən müstəqil sınaqdır. Bu testi hər kəs idarə edə bildiyi üçün SaaS provayderlərinin bu testdə mümkün olan ən yüksək bal toplaması xüsusilə vacibdir. Yalnız SaaS provayderləri deyil, həm də adi müəssisələr SSL bağlantısının keyfiyyətinə əhəmiyyət verirlər. Onlar üçün bu test potensial zəiflikləri müəyyən etmək və kibercinayətkarlar üçün əvvəlcədən bütün boşluqları bağlamaq üçün əla fürsətdir.
Zimbra OSE iki növ SSL sertifikatına icazə verir. Birincisi, quraşdırma zamanı avtomatik olaraq əlavə edilən, özünü imzalayan sertifikatdır. Bu sertifikat pulsuzdur və vaxt məhdudiyyəti yoxdur, bu da onu Zimbra OSE-ni sınaqdan keçirmək və ya yalnız daxili şəbəkə daxilində istifadə etmək üçün ideal edir. Bununla belə, veb-müştəriyə daxil olarkən istifadəçilər brauzerdən bu sertifikatın etibarsız olduğuna dair xəbərdarlıq görəcəklər və serveriniz Qualys SSL Labs testindən mütləq keçməyəcək.
İkincisi, sertifikatlaşdırma orqanı tərəfindən imzalanmış kommersiya SSL sertifikatıdır. Bu cür sertifikatlar brauzerlər tərəfindən asanlıqla qəbul edilir və adətən Zimbra OSE-nin kommersiya istifadəsi üçün istifadə olunur. Kommersiya sertifikatının düzgün quraşdırılmasından dərhal sonra Zimbra OSE 8.8.15 Qualys SSL Labs-dan testdə A xalını göstərir. Bu əla nəticədir, lakin bizim məqsədimiz A+ nəticə əldə etməkdir.
Zimbra Collaboration Suite Açıq Mənbə Buraxılışından istifadə edərkən Qualys SSL Labs testində maksimum nəticə əldə etmək üçün bir sıra addımları yerinə yetirməlisiniz:
1. Diffie-Hellman protokolunun parametrlərinin artırılması
Varsayılan olaraq, OpenSSL istifadə edən bütün Zimbra OSE 8.8.15 komponentlərində Diffie-Hellman protokol parametrləri 2048 bitə təyin edilmişdir. Prinsipcə, bu Qualys SSL Labs-dan testdə A+ xalını almaq üçün kifayətdir. Ancaq köhnə versiyalardan təkmilləşdirirsinizsə, parametrlər aşağı ola bilər. Buna görə də, yeniləmə tamamlandıqdan sonra Diffie-Hellman protokolunun parametrlərini məqbul 2048 bitə qədər artıracaq zmdhparam set -new 2048 əmrini yerinə yetirmək tövsiyə olunur və istəsəniz, eyni əmrdən istifadə edərək artıra bilərsiniz. parametrlərin dəyərinin 3072 və ya 4096 bit olması, bir tərəfdən generasiya vaxtının artmasına səbəb olacaq, digər tərəfdən isə poçt serverinin təhlükəsizlik səviyyəsinə müsbət təsir göstərəcək.
2. İstifadə olunan şifrələrin tövsiyə siyahısı daxil olmaqla
Varsayılan olaraq, Zimbra Collaborataion Suite Açıq Mənbəli Buraxılış təhlükəsiz bağlantı üzərindən keçən məlumatları şifrələyən güclü və zəif şifrələrin geniş spektrini dəstəkləyir. Bununla belə, zəif şifrələrdən istifadə SSL bağlantısının təhlükəsizliyini yoxlayarkən ciddi çatışmazlıqdır. Bunun qarşısını almaq üçün istifadə olunan şifrələrin siyahısını konfiqurasiya etməlisiniz.
Bunu etmək üçün əmrdən istifadə edin zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Bu əmr dərhal tövsiyə olunan şifrələr toplusunu ehtiva edir və bunun sayəsində komanda dərhal etibarlı şifrələri siyahıya daxil edə və etibarsız olanları istisna edə bilər. İndi yalnız zmproxyctl restart əmrindən istifadə edərək əks proxy qovşaqlarını yenidən işə salmaq qalır. Yenidən başladıqdan sonra edilən dəyişikliklər qüvvəyə minəcək.
Bu siyahı bu və ya digər səbəbdən sizə uyğun gəlmirsə, əmrdən istifadə edərək ondan bir sıra zəif şifrələri silə bilərsiniz. zmprov mcf +zimbraSSLExcludeCipherSuites. Beləliklə, məsələn, əmr zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, bu, RC4 şifrələrinin istifadəsini tamamilə aradan qaldıracaq. Eyni şeyi AES və 3DES şifrələri ilə də etmək olar.
3. HSTS-i aktiv edin
Qualys SSL Labs testində mükəmməl nəticə əldə etmək üçün qoşulma şifrələməsini və TLS sessiyasının bərpasını məcbur etmək üçün aktivləşdirilmiş mexanizmlər də tələb olunur. Onları aktivləşdirmək üçün əmri daxil etməlisiniz zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Bu əmr konfiqurasiyaya lazımi başlığı əlavə edəcək və yeni parametrlərin qüvvəyə minməsi üçün əmrdən istifadə edərək Zimbra OSE-ni yenidən başlatmalı olacaqsınız. zmcontrol yenidən başladın.
Artıq bu mərhələdə Qualys SSL Labs-ın testi A+ reytinqini göstərəcək, lakin serverinizin təhlükəsizliyini daha da yaxşılaşdırmaq istəyirsinizsə, bir sıra digər tədbirləri də görə bilərsiniz.
Məsələn, siz proseslərarası əlaqələrin məcburi şifrələnməsini aktiv edə bilərsiniz və Zimbra OSE xidmətlərinə qoşulduqda məcburi şifrələməni də aktivləşdirə bilərsiniz. Proseslərarası əlaqələri yoxlamaq üçün aşağıdakı əmrləri daxil edin:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueMəcburi şifrələməni aktivləşdirmək üçün aşağıdakıları daxil etməlisiniz:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEBu əmrlər sayəsində proksi serverlərə və poçt serverlərinə olan bütün bağlantılar şifrələnəcək və bütün bu bağlantılar proksiləşdiriləcək.
Beləliklə, tövsiyələrimizə əməl edərək, siz yalnız SSL əlaqə təhlükəsizliyi testində ən yüksək nəticə əldə edə bilməz, həm də bütün Zimbra OSE infrastrukturunun təhlükəsizliyini əhəmiyyətli dərəcədə artıra bilərsiniz.
Zextras Suite ilə bağlı bütün suallar üçün siz Zextras nümayəndəsi Ekaterina Triandafilidi ilə e-poçt vasitəsilə əlaqə saxlaya bilərsiniz. [e-poçt qorunur]
Mənbə: www.habr.com