La força del xifratge és un dels indicadors més importants a l'hora d'utilitzar sistemes d'informació per a les empreses, perquè cada dia estan involucrats en la transferència d'una gran quantitat d'informació confidencial. Un mitjà generalment acceptat per avaluar la qualitat d'una connexió SSL és una prova independent de Qualys SSL Labs. Com que qualsevol persona pot executar aquesta prova, és especialment important que els proveïdors de SaaS obtinguin la puntuació més alta possible en aquesta prova. No només els proveïdors de SaaS, sinó també les empreses normals es preocupen per la qualitat de la connexió SSL. Per a ells, aquesta prova és una excel·lent oportunitat per identificar possibles vulnerabilitats i tancar totes les llacunes per als ciberdelinqüents amb antelació.
Zimbra OSE permet dos tipus de certificats SSL. El primer és un certificat autofirmat que s'afegeix automàticament durant la instal·lació. Aquest certificat és gratuït i no té límit de temps, el que el fa ideal per provar Zimbra OSE o utilitzar-lo exclusivament dins d'una xarxa interna. Tanmateix, quan inicieu sessió al client web, els usuaris veuran un avís del navegador que indica que aquest certificat no és de confiança i el vostre servidor definitivament fallarà la prova de Qualys SSL Labs.
El segon és un certificat SSL comercial signat per una autoritat de certificació. Aquests certificats són fàcilment acceptats pels navegadors i normalment s'utilitzen per a l'ús comercial de Zimbra OSE. Immediatament després de la instal·lació correcta del certificat comercial, Zimbra OSE 8.8.15 mostra una puntuació A a la prova de Qualys SSL Labs. Aquest és un resultat excel·lent, però el nostre objectiu és aconseguir un resultat A+.
Per aconseguir la màxima puntuació a la prova de Qualys SSL Labs quan utilitzeu Zimbra Collaboration Suite Open-Source Edition, heu de completar una sèrie de passos:
1. Augment dels paràmetres del protocol Diffie-Hellman
Per defecte, tots els components de Zimbra OSE 8.8.15 que utilitzen OpenSSL tenen la configuració del protocol Diffie-Hellman configurada en 2048 bits. En principi, això és més que suficient per obtenir una puntuació A+ a la prova de Qualys SSL Labs. Tanmateix, si actualitzeu des de versions anteriors, la configuració pot ser inferior. Per tant, es recomana que, un cop finalitzada l'actualització, executeu l'ordre zmdhparam set -new 2048, que augmentarà els paràmetres del protocol Diffie-Hellman a uns 2048 bits acceptables i, si ho desitja, amb la mateixa ordre, podeu augmentar el valor dels paràmetres a 3072 o 4096 bits, que d'una banda comportarà un augment del temps de generació, però d'altra banda tindrà un efecte positiu en el nivell de seguretat del servidor de correu.
2. Incloent una llista recomanada de xifrats utilitzats
De manera predeterminada, Zimbra Collaborataion Suite Open-Source Edition admet una àmplia gamma de xifratges forts i febles, que xifren les dades que passen per una connexió segura. Tanmateix, l'ús de xifratge feble és un greu desavantatge a l'hora de comprovar la seguretat d'una connexió SSL. Per evitar-ho, heu de configurar la llista de xifrats utilitzats.
Per fer-ho, utilitzeu l'ordre zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Aquesta ordre inclou immediatament un conjunt de xifratge recomanat i gràcies a ella, l'ordre pot incloure immediatament xifrats fiables a la llista i excloure'n els que no siguin fiables. Ara només queda reiniciar els nodes intermediaris inversos mitjançant l'ordre de reinici zmproxyctl. Després d'un reinici, els canvis fets tindran efecte.
Si aquesta llista no us convé per una raó o una altra, podeu eliminar-ne una sèrie de xifratge feble mitjançant l'ordre zmprov mcf +zimbraSSLExcludeCipherSuites. Així, per exemple, l'ordre zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, que eliminarà completament l'ús de xifratge RC4. El mateix es pot fer amb xifratge AES i 3DES.
3. Activa HSTS
També calen mecanismes habilitats per forçar el xifratge de la connexió i la recuperació de la sessió TLS per aconseguir una puntuació perfecta a la prova Qualys SSL Labs. Per activar-los, heu d'introduir l'ordre zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Aquesta ordre afegirà la capçalera necessària a la configuració, i perquè la nova configuració tingui efecte, haureu de reiniciar Zimbra OSE mitjançant l'ordre reinici de zmcontrol.
Ja en aquesta fase, la prova de Qualys SSL Labs mostrarà una qualificació A+, però si voleu millorar encara més la seguretat del vostre servidor, podeu prendre una sèrie d'altres mesures.
Per exemple, podeu habilitar el xifratge forçat de connexions entre processos i també podeu activar el xifratge forçat quan us connecteu als serveis de Zimbra OSE. Per comprovar les connexions entre processos, introduïu les ordres següents:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePer habilitar el xifratge forçat, heu d'introduir:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGràcies a aquestes ordres, totes les connexions als servidors proxy i servidors de correu es xifraran i totes aquestes connexions seran proxy.
Així, seguint les nostres recomanacions, no només podeu aconseguir la puntuació més alta a la prova de seguretat de connexió SSL, sinó que també podeu augmentar significativament la seguretat de tota la infraestructura de Zimbra OSE.
Per a totes les preguntes relacionades amb Zextras Suite, podeu contactar amb la representant de Zextras Ekaterina Triandafilidi per correu electrònic [protegit per correu electrònic]
Font: www.habr.com