Die Stärke der Verschlüsselung ist einer der wichtigsten Indikatoren bei der Nutzung von Informationssystemen für Unternehmen, da diese täglich an der Übertragung großer Mengen vertraulicher Informationen beteiligt sind. Ein allgemein anerkanntes Mittel zur Beurteilung der Qualität einer SSL-Verbindung ist ein unabhängiger Test von Qualys SSL Labs. Da dieser Test von jedermann durchgeführt werden kann, ist es für SaaS-Anbieter besonders wichtig, bei diesem Test die höchstmögliche Punktzahl zu erreichen. Nicht nur SaaS-Anbieter, sondern auch normale Unternehmen legen Wert auf die Qualität der SSL-Verbindung. Für sie ist dieser Test eine hervorragende Gelegenheit, potenzielle Schwachstellen zu identifizieren und alle Schlupflöcher für Cyberkriminelle bereits im Vorfeld zu schließen.
Zimbra OSE ermöglicht zwei Arten von SSL-Zertifikaten. Das erste ist ein selbstsigniertes Zertifikat, das während der Installation automatisch hinzugefügt wird. Dieses Zertifikat ist kostenlos und zeitlich unbegrenzt und eignet sich daher ideal zum Testen von Zimbra OSE oder zur ausschließlichen Nutzung innerhalb eines internen Netzwerks. Beim Anmelden am Webclient wird den Benutzern jedoch vom Browser eine Warnung angezeigt, dass dieses Zertifikat nicht vertrauenswürdig ist, und Ihr Server wird den Test von Qualys SSL Labs definitiv nicht bestehen.
Das zweite ist ein kommerzielles SSL-Zertifikat, das von einer Zertifizierungsstelle signiert ist. Solche Zertifikate werden von Browsern problemlos akzeptiert und werden normalerweise für die kommerzielle Nutzung von Zimbra OSE verwendet. Unmittelbar nach der korrekten Installation des kommerziellen Zertifikats weist Zimbra OSE 8.8.15 im Test von Qualys SSL Labs eine A-Wertung auf. Das ist ein hervorragendes Ergebnis, aber unser Ziel ist es, ein A+-Ergebnis zu erreichen.
Um bei der Verwendung der Zimbra Collaboration Suite Open-Source Edition die maximale Punktzahl im Test von Qualys SSL Labs zu erreichen, müssen Sie eine Reihe von Schritten durchführen:
1. Erhöhung der Parameter des Diffie-Hellman-Protokolls
Standardmäßig sind bei allen Zimbra OSE 8.8.15-Komponenten, die OpenSSL verwenden, die Diffie-Hellman-Protokolleinstellungen auf 2048 Bit eingestellt. Im Prinzip reicht das mehr als aus, um im Test von Qualys SSL Labs die Note A+ zu erreichen. Wenn Sie jedoch ein Upgrade von älteren Versionen durchführen, können die Einstellungen niedriger sein. Daher wird empfohlen, nach Abschluss des Updates den Befehl zmdhparam set -new 2048 auszuführen, wodurch die Parameter des Diffie-Hellman-Protokolls auf akzeptable 2048 Bits erhöht werden. Bei Bedarf können Sie sie mit demselben Befehl erhöhen B. den Wert der Parameter auf 3072 oder 4096 Bit, was einerseits zu einer Verlängerung der Generierungszeit führt, sich andererseits aber positiv auf das Sicherheitsniveau des Mailservers auswirkt.
2. Einschließlich einer empfohlenen Liste der verwendeten Chiffren
Standardmäßig unterstützt die Zimbra Collaborataion Suite Open-Source Edition eine Vielzahl starker und schwacher Verschlüsselungsverfahren, die Daten verschlüsseln, die über eine sichere Verbindung übertragen werden. Allerdings ist die Verwendung schwacher Chiffren ein gravierender Nachteil bei der Überprüfung der Sicherheit einer SSL-Verbindung. Um dies zu vermeiden, müssen Sie die Liste der verwendeten Chiffren konfigurieren.
Verwenden Sie dazu den Befehl zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Dieser Befehl fügt sofort einen Satz empfohlener Chiffren hinzu und kann dank dessen sofort zuverlässige Chiffren in die Liste aufnehmen und unzuverlässige ausschließen. Jetzt müssen nur noch die Reverse-Proxy-Knoten mit dem Befehl zmproxyctl restart neu gestartet werden. Nach einem Neustart werden die vorgenommenen Änderungen wirksam.
Wenn Ihnen diese Liste aus dem einen oder anderen Grund nicht zusagt, können Sie mit dem Befehl eine Reihe schwacher Chiffren daraus entfernen zmprov mcf +zimbraSSLExcludeCipherSuites. So zum Beispiel der Befehl zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, wodurch die Verwendung von RC4-Verschlüsselungen vollständig entfällt. Dasselbe kann mit AES- und 3DES-Chiffren durchgeführt werden.
3. Aktivieren Sie HSTS
Um im Qualys SSL Labs-Test ein perfektes Ergebnis zu erzielen, sind außerdem aktivierte Mechanismen zur Erzwingung der Verbindungsverschlüsselung und der Wiederherstellung der TLS-Sitzung erforderlich. Um sie zu aktivieren, müssen Sie den Befehl eingeben zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Mit diesem Befehl wird der Konfiguration der erforderliche Header hinzugefügt. Damit die neuen Einstellungen wirksam werden, müssen Sie Zimbra OSE mit dem Befehl neu starten zmcontrol Neustart.
Bereits zu diesem Zeitpunkt weist der Test von Qualys SSL Labs eine A+-Bewertung aus. Wenn Sie die Sicherheit Ihres Servers jedoch weiter verbessern möchten, können Sie eine Reihe weiterer Maßnahmen ergreifen.
Sie können beispielsweise die erzwungene Verschlüsselung von Verbindungen zwischen Prozessen und auch die erzwungene Verschlüsselung bei der Verbindung mit Zimbra OSE-Diensten aktivieren. Geben Sie die folgenden Befehle ein, um Interprozessverbindungen zu überprüfen:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueUm die erzwungene Verschlüsselung zu aktivieren, müssen Sie Folgendes eingeben:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDank dieser Befehle werden alle Verbindungen zu Proxyservern und Mailservern verschlüsselt und alle diese Verbindungen werden über einen Proxy weitergeleitet.
Wenn Sie also unseren Empfehlungen folgen, können Sie nicht nur die höchste Punktzahl im SSL-Verbindungssicherheitstest erreichen, sondern auch die Sicherheit der gesamten Zimbra OSE-Infrastruktur deutlich erhöhen.
Bei allen Fragen im Zusammenhang mit der Zextras Suite können Sie sich per E-Mail an die Vertreterin von Zextras Ekaterina Triandafilidi wenden [E-Mail geschützt]
Source: habr.com