Styrken af krypteringen er en af de vigtigste indikatorer, når du bruger informationssystemer til erhvervslivet, fordi de hver dag er involveret i overførslen af en enorm mængde fortrolig information. Et generelt accepteret middel til at vurdere kvaliteten af en SSL-forbindelse er en uafhængig test fra Qualys SSL Labs. Da denne test kan køres af alle, er det især vigtigt for SaaS-udbydere at få den højest mulige score på denne test. Ikke kun SaaS-udbydere, men også almindelige virksomheder bekymrer sig om kvaliteten af SSL-forbindelsen. For dem er denne test en glimrende mulighed for at identificere potentielle sårbarheder og lukke alle smuthuller for cyberkriminelle på forhånd.
Zimbra OSE tillader to typer SSL-certifikater. Det første er et selvsigneret certifikat, der automatisk tilføjes under installationen. Dette certifikat er gratis og har ingen tidsbegrænsning, hvilket gør det ideelt til at teste Zimbra OSE eller udelukkende bruge det inden for et internt netværk. Men når de logger ind på webklienten, vil brugerne se en advarsel fra browseren om, at dette certifikat ikke er tillid til, og din server vil helt sikkert fejle testen fra Qualys SSL Labs.
Det andet er et kommercielt SSL-certifikat, der er underskrevet af en certificeringsmyndighed. Sådanne certifikater accepteres let af browsere og bruges normalt til kommerciel brug af Zimbra OSE. Umiddelbart efter korrekt installation af det kommercielle certifikat viser Zimbra OSE 8.8.15 en A-score i testen fra Qualys SSL Labs. Dette er et fremragende resultat, men vores mål er at opnå et A+ resultat.
For at opnå den maksimale score i testen fra Qualys SSL Labs, når du bruger Zimbra Collaboration Suite Open-Source Edition, skal du gennemføre en række trin:
1. Forøgelse af parametrene for Diffie-Hellman-protokollen
Som standard har alle Zimbra OSE 8.8.15-komponenter, der bruger OpenSSL, Diffie-Hellman-protokolindstillinger sat til 2048 bit. I princippet er dette mere end nok til at få en A+-score i testen fra Qualys SSL Labs. Men hvis du opgraderer fra ældre versioner, kan indstillingerne være lavere. Derfor anbefales det at køre kommandoen zmdhparam set -new 2048, efter at opdateringen er fuldført, som vil øge parametrene for Diffie-Hellman protokollen til en acceptabel 2048 bit, og hvis det ønskes, ved hjælp af den samme kommando, kan du øge værdien af parametrene til 3072 eller 4096 bit, hvilket på den ene side vil føre til en øget genereringstid, men på den anden side vil have en positiv effekt på sikkerhedsniveauet på mailserveren.
2. Inklusive en anbefalet liste over anvendte cifre
Som standard understøtter Zimbra Collaborataion Suite Open-Source Edition en bred vifte af stærke og svage cifre, som krypterer data, der passerer over en sikker forbindelse. Brugen af svage cifre er dog en alvorlig ulempe, når man tjekker sikkerheden af en SSL-forbindelse. For at undgå dette skal du konfigurere listen over anvendte cifre.
For at gøre dette skal du bruge kommandoen zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Denne kommando inkluderer straks et sæt anbefalede cifre, og takket være den kan kommandoen straks inkludere pålidelige cifre på listen og udelukke upålidelige. Nu er der kun tilbage at genstarte de omvendte proxy-knuder ved hjælp af kommandoen zmproxyctl genstart. Efter en genstart træder de foretagne ændringer i kraft.
Hvis denne liste ikke passer dig af den ene eller anden grund, kan du fjerne et antal svage cifre fra den ved hjælp af kommandoen zmprov mcf +zimbraSSLExcludeCipherSuites. Altså for eksempel kommandoen zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, hvilket helt vil eliminere brugen af RC4-cifre. Det samme kan gøres med AES- og 3DES-cifre.
3. Aktiver HSTS
Aktiverede mekanismer til at tvinge forbindelseskryptering og gendannelse af TLS-sessioner er også nødvendige for at opnå en perfekt score i Qualys SSL Labs-testen. For at aktivere dem skal du indtaste kommandoen zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Denne kommando tilføjer den nødvendige overskrift til konfigurationen, og for at de nye indstillinger træder i kraft, skal du genstarte Zimbra OSE ved hjælp af kommandoen zmcontrol genstart.
Allerede på dette stadie vil testen fra Qualys SSL Labs vise en A+-rating, men hvis du vil forbedre sikkerheden på din server yderligere, er der en række andre tiltag, du kan tage.
For eksempel kan du aktivere tvungen kryptering af forbindelser mellem processer, og du kan også aktivere tvungen kryptering, når du opretter forbindelse til Zimbra OSE-tjenester. Indtast følgende kommandoer for at kontrollere interprocesforbindelser:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueFor at aktivere tvungen kryptering skal du indtaste:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETakket være disse kommandoer vil alle forbindelser til proxyservere og mailservere blive krypteret, og alle disse forbindelser vil blive proxyserveret.
Ved at følge vores anbefalinger kan du således ikke kun opnå den højeste score i SSL-forbindelsessikkerhedstesten, men også øge sikkerheden markant i hele Zimbra OSE-infrastrukturen.
For alle spørgsmål relateret til Zextras Suite, kan du kontakte repræsentanten for Zextras Ekaterina Triandafilidi via e-mail [e-mail beskyttet]
Kilde: www.habr.com