Ang kalig-on sa encryption mao ang usa sa labing importante nga mga timailhan sa diha nga ang paggamit sa mga sistema sa impormasyon alang sa negosyo, tungod kay sa matag adlaw sila nalambigit sa pagbalhin sa usa ka dako nga kantidad sa confidential nga impormasyon. Ang kasagarang gidawat nga paagi sa pagtimbang-timbang sa kalidad sa usa ka koneksyon sa SSL usa ka independenteng pagsulay gikan sa Qualys SSL Labs. Tungod kay kini nga pagsulay mahimong ipadagan ni bisan kinsa, labi ka hinungdanon alang sa mga taghatag sa SaaS nga makuha ang labing taas nga posible nga marka sa kini nga pagsulay. Dili lamang ang mga SaaS providers, apan ang mga ordinaryong negosyo usab nagpakabana sa kalidad sa koneksyon sa SSL. Alang kanila, kini nga pagsulay usa ka maayo kaayo nga oportunidad sa pag-ila sa mga potensyal nga kahuyangan ug pagsira sa tanan nga mga lungag alang sa mga cybercriminal nga abante.
Gitugotan sa Zimbra OSE ang duha ka klase sa mga sertipiko sa SSL. Ang una usa ka sertipiko nga gipirmahan sa kaugalingon nga awtomatiko nga idugang sa panahon sa pag-install. Kini nga sertipiko libre ug walay limitasyon sa panahon, nga naghimo niini nga sulundon alang sa pagsulay sa Zimbra OSE o paggamit niini nga eksklusibo sulod sa internal nga network. Bisan pa, kung mag-log in sa web client, ang mga tiggamit makakita og pasidaan gikan sa browser nga kini nga sertipiko dili kasaligan, ug ang imong server siguradong mapakyas sa pagsulay gikan sa Qualys SSL Labs.
Ang ikaduha usa ka komersyal nga sertipiko sa SSL nga gipirmahan sa usa ka awtoridad sa sertipikasyon. Ang ingon nga mga sertipiko dali nga madawat sa mga browser ug sagad gigamit alang sa komersyal nga paggamit sa Zimbra OSE. Diha-diha dayon human sa husto nga pag-instalar sa komersyal nga sertipiko, ang Zimbra OSE 8.8.15 nagpakita sa usa ka A score sa pagsulay gikan sa Qualys SSL Labs. Kini mao ang usa ka maayo kaayo nga resulta, apan ang atong tumong mao ang pagkab-ot sa usa ka A+ resulta.
Aron makab-ot ang labing taas nga marka sa pagsulay gikan sa Qualys SSL Labs kung gigamit ang Zimbra Collaboration Suite Open-Source Edition, kinahanglan nimo nga makompleto ang daghang mga lakang:
1. Pagdugang sa mga parameter sa Diffie-Hellman protocol
Sa default, ang tanan nga mga sangkap sa Zimbra OSE 8.8.15 nga naggamit sa OpenSSL adunay mga setting sa protocol sa Diffie-Hellman nga gitakda sa 2048 bits. Sa prinsipyo, kini labaw pa sa igo aron makakuha og A+ nga marka sa pagsulay gikan sa Qualys SSL Labs. Bisan pa, kung nag-upgrade ka gikan sa daan nga mga bersyon, ang mga setting mahimong mas ubos. Busa, girekomendar nga human makompleto ang pag-update, padagana ang command zmdhparam set -new 2048, nga magdugang sa mga parameter sa Diffie-Hellman protocol ngadto sa madawat nga 2048 bits, ug kon gusto, gamit ang sama nga sugo, mahimo nimong madugangan. ang bili sa mga parameter ngadto sa 3072 o 4096 bits, nga sa usa ka bahin modala ngadto sa usa ka pagtaas sa panahon sa henerasyon, apan sa laing bahin adunay usa ka positibo nga epekto sa lebel sa seguridad sa mail server.
2. Naglakip sa girekomendar nga lista sa mga cipher nga gigamit
Sa kasagaran, ang Zimbra Collaborataion Suite Open-Source Edition nagsuporta sa usa ka halapad nga mga lig-on ug huyang nga mga cipher, nga nag-encrypt sa datos nga moagi sa usa ka luwas nga koneksyon. Bisan pa, ang paggamit sa huyang nga mga cipher usa ka seryoso nga disbentaha kung susihon ang seguridad sa usa ka koneksyon sa SSL. Aron malikayan kini, kinahanglan nimo nga i-configure ang lista sa mga cipher nga gigamit.
Aron mahimo kini, gamita ang mando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Kini nga sugo naglakip dayon sa usa ka hugpong sa girekomendar nga mga cipher ug salamat niini, ang sugo mahimo dayon nga maglakip sa kasaligang mga cipher sa listahan ug dili iapil ang mga dili kasaligan. Karon ang nahabilin mao ang pag-restart sa mga reverse proxy node gamit ang zmproxyctl restart command. Pagkahuman sa pag-reboot, ang mga pagbag-o nga gihimo mahimong epektibo.
Kung kini nga lista dili angay kanimo sa usa ka hinungdan o sa lain, mahimo nimong tangtangon ang daghang huyang nga mga cipher gikan niini gamit ang mando zmprov mcf +zimbraSSLExcludeCipherSuites. Busa, pananglitan, ang sugo zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, nga hingpit nga magwagtang sa paggamit sa RC4 ciphers. Ang sama nga mahimo sa AES ug 3DES ciphers.
3. I-enable ang HSTS
Ang mga mekanismo nga gipagana aron mapugos ang pag-encrypt sa koneksyon ug pagbawi sa sesyon sa TLS gikinahanglan usab aron makab-ot ang usa ka hingpit nga marka sa pagsulay sa Qualys SSL Labs. Aron mahimo sila kinahanglan nimo nga mosulod sa mando zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Kini nga command magdugang sa gikinahanglan nga header sa configuration, ug aron ang bag-ong mga setting mo-epekto kinahanglan nimo nga i-restart ang Zimbra OSE gamit ang command zmcontrol i-restart.
Naa na sa kini nga yugto, ang pagsulay gikan sa Qualys SSL Labs magpakita sa usa ka A + nga rating, apan kung gusto nimo nga mapauswag pa ang seguridad sa imong server, adunay daghang uban pang mga lakang nga mahimo nimo.
Pananglitan, mahimo nimong palihokon ang pinugos nga pag-encrypt sa mga koneksyon sa inter-proseso, ug mahimo usab nimo nga mahimo ang pinugos nga pag-encrypt kung magkonektar sa mga serbisyo sa Zimbra OSE. Aron masusi ang mga koneksyon sa interprocess, isulod ang mosunod nga mga sugo:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueAron mahimo ang pinugos nga pag-encrypt kinahanglan nimo nga mosulod:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUESalamat sa kini nga mga mando, ang tanan nga koneksyon sa proxy server ug mail server ma-encrypt, ug kining tanan nga koneksyon ma-proxy.
Sa ingon, pagsunod sa among mga rekomendasyon, dili lamang nimo makab-ot ang labing taas nga marka sa pagsulay sa seguridad sa koneksyon sa SSL, apan labi usab nga madugangan ang seguridad sa tibuuk nga imprastraktura sa Zimbra OSE.
Para sa tanang pangutana nga may kalabotan sa Zextras Suite, mahimo nimong kontakon ang Representante sa Zextras Ekaterina Triandafilidi pinaagi sa e-mail [protektado sa email]
Source: www.habr.com