Cryfder amgryptio yw un o'r dangosyddion pwysicaf wrth ddefnyddio systemau gwybodaeth ar gyfer busnes, oherwydd bob dydd maent yn ymwneud Γ’ throsglwyddo llawer iawn o wybodaeth gyfrinachol. Dull a dderbynnir yn gyffredinol o asesu ansawdd cysylltiad SSL yw prawf annibynnol gan Qualys SSL Labs. Gan y gall y prawf hwn gael ei redeg gan unrhyw un, mae'n arbennig o bwysig i ddarparwyr SaaS gael y sgΓ΄r uchaf posibl ar y prawf hwn. Nid yn unig mae darparwyr SaaS, ond hefyd mentrau cyffredin yn poeni am ansawdd y cysylltiad SSL. Iddynt hwy, mae'r prawf hwn yn gyfle gwych i nodi gwendidau posibl a chau pob bwlch ar gyfer seiberdroseddwyr ymlaen llaw.
Mae Zimbra OSE yn caniatΓ‘u dau fath o dystysgrifau SSL. Mae'r cyntaf yn dystysgrif hunan-lofnodedig sy'n cael ei hychwanegu'n awtomatig yn ystod y gosodiad. Mae'r dystysgrif hon yn rhad ac am ddim ac nid oes ganddi derfyn amser, sy'n ei gwneud yn ddelfrydol ar gyfer profi Zimbra OSE neu ei defnyddio'n gyfan gwbl o fewn rhwydwaith mewnol. Fodd bynnag, wrth fewngofnodi i'r cleient gwe, bydd defnyddwyr yn gweld rhybudd gan y porwr nad yw'r dystysgrif hon yn ddibynadwy, a bydd eich gweinydd yn bendant yn methu'r prawf gan Qualys SSL Labs.
Mae'r ail yn dystysgrif SSL fasnachol wedi'i llofnodi gan awdurdod ardystio. Mae'n hawdd derbyn tystysgrifau o'r fath gan borwyr ac fe'u defnyddir fel arfer at ddefnydd masnachol o Zimbra OSE. Yn syth ar Γ΄l gosod y dystysgrif fasnachol yn gywir, mae Zimbra OSE 8.8.15 yn dangos sgΓ΄r A yn y prawf gan Qualys SSL Labs. Mae hwn yn ganlyniad ardderchog, ond ein nod yw cyflawni canlyniad A+.
Er mwyn cyflawni'r sgΓ΄r uchaf yn y prawf gan Qualys SSL Labs wrth ddefnyddio Zimbra Collaboration Suite Open-Source Edition, rhaid i chi gwblhau nifer o gamau:
1. Cynyddu paramedrau protocol Diffie-Hellman
Yn ddiofyn, mae gan bob cydran Zimbra OSE 8.8.15 sy'n defnyddio OpenSSL osodiadau protocol Diffie-Hellman wedi'u gosod i 2048 bit. Mewn egwyddor, mae hyn yn fwy na digon i gael sgΓ΄r A+ yn y prawf gan Qualys SSL Labs. Fodd bynnag, os ydych chi'n uwchraddio o fersiynau hΕ·n, gall y gosodiadau fod yn is. Felly, ar Γ΄l cwblhau'r diweddariad, argymhellir rhedeg y gorchymyn zmdhparam set -new 2048, a fydd yn cynyddu paramedrau'r protocol Diffie-Hellman i 2048 did derbyniol, ac os dymunir, gan ddefnyddio'r un gorchymyn, gallwch gynyddu gwerth y paramedrau i 3072 neu 4096 o ddarnau, a fydd ar y naill law yn arwain at gynnydd mewn amser cynhyrchu, ond ar y llaw arall bydd yn cael effaith gadarnhaol ar lefel diogelwch y gweinydd post.
2. Gan gynnwys rhestr a argymhellir o seiffrau a ddefnyddiwyd
Yn ddiofyn, mae Zimbra Collaborataion Suite Open-Source Edition yn cefnogi ystod eang o seiffrau cryf a gwan, sy'n amgryptio data sy'n mynd dros gysylltiad diogel. Fodd bynnag, mae defnyddio seiffrau gwan yn anfantais ddifrifol wrth wirio diogelwch cysylltiad SSL. Er mwyn osgoi hyn, mae angen i chi ffurfweddu'r rhestr o seiffrau a ddefnyddir.
I wneud hyn, defnyddiwch y gorchymyn zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Mae'r gorchymyn hwn ar unwaith yn cynnwys set o seiffrau a argymhellir a diolch iddo, gall y gorchymyn gynnwys seiffrau dibynadwy ar unwaith yn y rhestr ac eithrio rhai annibynadwy. Nawr y cyfan sydd ar Γ΄l yw ailgychwyn y nodau dirprwy gwrthdro gan ddefnyddio'r gorchymyn ailgychwyn zmproxyctl. Ar Γ΄l ailgychwyn, bydd y newidiadau a wneir yn dod i rym.
Os nad yw'r rhestr hon yn addas i chi am ryw reswm neu'i gilydd, gallwch dynnu nifer o seiffrau gwan oddi arni gan ddefnyddio'r gorchymyn zmprov mcf +zimbraSSLExcludeCipherSuites. Felly, er enghraifft, y gorchymyn zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, a fydd yn dileu'r defnydd o seiffrau RC4 yn llwyr. Gellir gwneud yr un peth gyda seiffrau AES a 3DES.
3. Galluogi HSTS
Mae angen mecanweithiau wedi'u galluogi i orfodi amgryptio cysylltiad ac adferiad sesiwn TLS hefyd i gyflawni sgΓ΄r perffaith ym mhrawf Qualys SSL Labs. Er mwyn eu galluogi rhaid i chi nodi'r gorchymyn zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Bydd y gorchymyn hwn yn ychwanegu'r pennawd angenrheidiol i'r ffurfweddiad, ac er mwyn i'r gosodiadau newydd ddod i rym bydd yn rhaid i chi ailgychwyn Zimbra OSE gan ddefnyddio'r gorchymyn ailgychwyn zmcontrol.
Eisoes ar hyn o bryd, bydd y prawf gan Qualys SSL Labs yn dangos sgΓ΄r A +, ond os ydych chi am wella diogelwch eich gweinydd ymhellach, mae yna nifer o fesurau eraill y gallwch chi eu cymryd.
Er enghraifft, gallwch chi alluogi amgryptio gorfodol o gysylltiadau rhyng-broses, a gallwch hefyd alluogi amgryptio gorfodol wrth gysylltu Γ’ gwasanaethau Zimbra OSE. I wirio cysylltiadau rhyngbroses, rhowch y gorchmynion canlynol:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueEr mwyn galluogi amgryptio gorfodol mae angen i chi nodi:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDiolch i'r gorchmynion hyn, bydd yr holl gysylltiadau Γ’ gweinyddwyr dirprwyol a gweinyddwyr post yn cael eu hamgryptio, a bydd yr holl gysylltiadau hyn yn cael eu dirprwyo.
Felly, yn dilyn ein hargymhellion, nid yn unig y gallwch chi gyflawni'r sgΓ΄r uchaf yn y prawf diogelwch cysylltiad SSL, ond hefyd yn cynyddu diogelwch y seilwaith Zimbra OSE cyfan yn sylweddol.
Ar gyfer pob cwestiwn sy'n ymwneud Γ’ Zextras Suite, gallwch gysylltu Γ’ Chynrychiolydd Zextras Ekaterina Triandafilidi trwy e-bost [e-bost wedi'i warchod]
Ffynhonnell: hab.com