A forza di a criptografia hè unu di l'indicatori più impurtanti quandu si usanu sistemi d'informazioni per l'affari, perchè ogni ghjornu sò implicati in u trasferimentu di una quantità enorme di informazioni cunfidenziale. Un modu generalmente accettatu per valutà a qualità di una cunnessione SSL hè una prova indipendente da Qualys SSL Labs. Siccomu sta prova pò esse eseguita da qualcunu, hè particularmente impurtante per i fornituri SaaS per ottene u puntu più altu pussibule in questa prova. Micca solu i fornituri SaaS, ma ancu l'imprese ordinarie si preoccupanu di a qualità di a cunnessione SSL. Per elli, sta prova hè una excelente opportunità per identificà e vulnerabili potenziali è chjude tutte e lacune per i cibercriminali in anticipu.
Zimbra OSE permette dui tipi di certificati SSL. U primu hè un certificatu autofirmatu chì hè aghjuntu automaticamente durante a stallazione. Stu certificatu hè gratuitu è ùn hà micca limitu di tempu, facendu l'ideale per pruvà Zimbra OSE o aduprà solu in una reta interna. In ogni casu, quandu si accede à u cliente web, l'utilizatori vedenu un avvisu da u navigatore chì stu certificatu ùn hè micca fiduciale, è u vostru servitore fallerà definitivamente a prova da Qualys SSL Labs.
U sicondu hè un certificatu SSL cummerciale firmatu da una autorità di certificazione. Tali certificati sò facilmente accettati da i navigatori è sò generalmente usati per l'usu cummerciale di Zimbra OSE. Immediatamente dopu a stallazione curretta di u certificatu cummerciale, Zimbra OSE 8.8.15 mostra un puntu A in a prova da Qualys SSL Labs. Questu hè un risultatu eccellente, ma u nostru scopu hè di ottene un risultatu A +.
Per ottene u puntu massimu in a prova da Qualys SSL Labs quandu si usa Zimbra Collaboration Suite Open-Source Edition, duvete compie una serie di passi:
1. Aumentà i paràmetri di u protocolu Diffie-Hellman
Per automaticamente, tutti i cumpunenti Zimbra OSE 8.8.15 chì utilizanu OpenSSL anu paràmetri di protokollu Diffie-Hellman stabilitu à 2048 bits. In principiu, questu hè più cà abbastanza per ottene un puntuatu A + in a prova da Qualys SSL Labs. Tuttavia, s'è vo aghjurnà da versioni più vechje, i paràmetri ponu esse più bassi. Per quessa, hè cunsigliatu chì dopu chì l'aghjurnamentu hè cumpletu, eseguite u cumandimu zmdhparam set -new 2048, chì aumenterà i paràmetri di u protocolu Diffie-Hellman à un 2048 bits accettabile, è se vulete, utilizendu u listessu cumandamentu, pudete aumentà. u valore di i paràmetri à 3072 o 4096 bits, chì da una banda portanu à un aumentu di u tempu di generazione, ma da l'altra banda avarà un effettu pusitivu nantu à u livellu di sicurità di u servitore di mail.
2. Includendu una lista cunsigliata di cifru utilizati
Per automaticamente, Zimbra Collaborataion Suite Open-Source Edition supporta una larga gamma di cifru forti è debuli, chì criptanu i dati chì passanu nantu à una cunnessione sicura. In ogni casu, l'usu di cifru debuli hè un svantaghju seriu quandu cuntrolla a sicurità di una cunnessione SSL. Per evitari questu, avete bisognu di cunfigurà a lista di cifru utilizati.
Per fà questu, utilizate u cumandimu zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Stu cumandamentu include immediatamente un inseme di cifri cunsigliati è grazia à questu, u cumandimu pò include immediatamente cifri affidabili in a lista è esclude quelli inaffidabili. Avà tuttu ciò chì resta hè di riavvià i nodi proxy inversi utilizendu u cumandamentu di riavvia zmproxyctl. Dopu un reboot, i cambiamenti fatti saranu effettu.
Se sta lista ùn vi cunvene micca per una ragione o per l'altru, pudete caccià una quantità di cifru debuli cù u cumandimu. zmprov mcf +zimbraSSLExcludeCipherSuites. Cusì, per esempiu, u cumandamentu zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, chì eliminà cumplettamente l'usu di cifru RC4. U listessu pò esse fattu cù cifri AES è 3DES.
3. Habilita HSTS
I meccanismi attivati per furzà a criptografia di cunnessione è a ricuperazione di a sessione TLS sò ancu richiesti per ottene un puntuatu perfettu in a prova Qualys SSL Labs. Per attivà elli, duvete entre in u cumandimu zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Questu cumandimu aghjunghje l'intestazione necessaria à a cunfigurazione, è per chì i novi paràmetri anu da esse effettu, duverete riavvià Zimbra OSE cù u cumandimu. zmcontrol restart.
Dighjà in questa tappa, a prova di Qualys SSL Labs mostrarà una qualificazione A+, ma se vulete migliurà a sicurità di u vostru servitore, ci sò parechje altre misure chì pudete piglià.
Per esempiu, pudete attivà a criptografia furzata di cunnessione inter-processu, è pudete ancu attivà a criptografia forzata quandu si cunnetta à i servizii Zimbra OSE. Per verificà e cunnessione interprocessu, inserite i seguenti cumandamenti:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePer attivà a criptografia forzata, avete bisognu di entre:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGrazie à questi cumandamenti, tutte e cunnessione à i servitori proxy è i servitori di mail seranu criptate, è tutte queste cunnessione seranu proxy.
Cusì, in seguitu à i nostri cunsiglii, pudete micca solu ottene u puntu più altu in a prova di sicurezza di cunnessione SSL, ma ancu aumentà significativamente a sicurità di tutta l'infrastruttura Zimbra OSE.
Per tutte e dumande riguardanti Zextras Suite, pudete cuntattà u Rappresentante di Zextras Ekaterina Triandafilidi per e-mail [email prutettu]
Source: www.habr.com