La forto de ĉifrado estas unu el la plej gravaj indikiloj kiam oni uzas informsistemojn por komerco, ĉar ĉiutage ili estas implikitaj en la translokigo de grandega kvanto da konfidencaj informoj. Ĝenerale akceptita rimedo por taksi la kvaliton de SSL-konekto estas sendependa testo de Qualys SSL Labs. Ĉar ĉi tiu testo povas esti farita de iu ajn, estas precipe grave por SaaS-provizantoj akiri la plej altan eblan poentaron en ĉi tiu testo. Ne nur SaaS-provizantoj, sed ankaŭ ordinaraj entreprenoj zorgas pri la kvalito de la SSL-konekto. Por ili, ĉi tiu testo estas bonega ŝanco identigi eblajn vundeblecojn kaj antaŭfermi ĉiujn kaŝpasejojn por ciberkrimuloj.
Zimbra OSE permesas du specojn de SSL-atestiloj. La unua estas memsubskribita atestilo, kiu estas aŭtomate aldonita dum instalado. Ĉi tiu atestilo estas senpaga kaj ne havas tempolimon, igante ĝin ideala por testi Zimbra OSE aŭ uzi ĝin ekskluzive ene de interna reto. Tamen, dum ensaluto en la retklienton, uzantoj vidos averton de la retumilo, ke ĉi tiu atestilo estas nefidinda, kaj via servilo certe malsukcesos la teston de Qualys SSL Labs.
La dua estas komerca SSL-atestilo subskribita de atestadaŭtoritato. Tiaj atestiloj estas facile akceptataj de retumiloj kaj kutime estas uzataj por komerca uzo de Zimbra OSE. Tuj post la ĝusta instalado de la komerca atestilo, Zimbra OSE 8.8.15 montras A-poentaron en la testo de Qualys SSL Labs. Ĉi tio estas bonega rezulto, sed nia celo estas atingi A+-rezulton.
Por atingi la maksimuman poentaron en la testo de Qualys SSL Labs kiam vi uzas Zimbra Collaboration Suite Open-Source Edition, vi devas plenumi kelkajn paŝojn:
1. Pliigante la parametrojn de la protokolo Diffie-Hellman
Defaŭlte, ĉiuj komponantoj de Zimbra OSE 8.8.15, kiuj uzas OpenSSL, havas agordojn de protokolo Diffie-Hellman agordita al 2048 bitoj. Principe ĉi tio estas pli ol sufiĉa por akiri A+-poentaron en la testo de Qualys SSL Labs. Tamen, se vi ĝisdatigas de pli malnovaj versioj, la agordoj povas esti pli malaltaj. Tial oni rekomendas, ke post kiam la ĝisdatigo finiĝos, rulu la komandon zmdhparam set -new 2048, kiu pliigos la parametrojn de la protokolo Diffie-Hellman al akcepteblaj 2048 bitoj, kaj se vi volas, uzante la saman komandon, vi povas pliigi. la valoro de la parametroj al 3072 aŭ 4096 bitoj, kiu unuflanke kondukos al pliigo de genera tempo, sed aliflanke havos pozitivan efikon sur la sekureca nivelo de la poŝtservilo.
2. Inkluzive de rekomendita listo de uzataj ĉifroj
Defaŭlte, Zimbra Collaborataion Suite Open-Source Edition subtenas larĝan gamon de fortaj kaj malfortaj ĉifroj, kiuj ĉifras datumojn trapasantajn sekuran konekton. Tamen, la uzo de malfortaj ĉifroj estas grava malavantaĝo kiam oni kontrolas la sekurecon de SSL-konekto. Por eviti ĉi tion, vi devas agordi la liston de uzataj ĉifroj.
Por fari tion, uzu la komandon zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ĉi tiu komando tuj inkluzivas aron da rekomenditaj ĉifroj kaj danke al ĝi, la komando povas tuj inkluzivi fidindajn ĉifrojn en la listo kaj ekskludi nefidindajn. Nun restas nur rekomenci la inversajn prokurajn nodojn per la rekomenca komando zmproxyctl. Post rekomenco, la ŝanĝoj faritaj efektiviĝos.
Se ĉi tiu listo ne konvenas al vi pro unu aŭ alia kialo, vi povas forigi kelkajn malfortajn ĉifrojn de ĝi uzante la komandon zmprov mcf +zimbraSSLExcludeCipherSuites. Do, ekzemple, la komando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, kiu tute forigos la uzon de RC4-ĉifroj. La sama povas esti farita kun AES kaj 3DES ĉifroj.
3. Ebligu HSTS
Ebligitaj mekanismoj por devigi konektan ĉifradon kaj TLS-sesan reakiron ankaŭ estas postulataj por atingi perfektan poentaron en la provo de Qualys SSL Labs. Por ebligi ilin vi devas enigi la komandon zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ĉi tiu komando aldonos la necesan kaplinion al la agordo, kaj por ke la novaj agordoj ekvalidu, vi devos rekomenci Zimbra OSE per la komando. zmcontrol rekomenci.
Jam en ĉi tiu etapo, la testo de Qualys SSL Labs montros A+-takson, sed se vi volas plu plibonigi la sekurecon de via servilo, ekzistas kelkaj aliaj mezuroj, kiujn vi povas preni.
Ekzemple, vi povas ebligi malvolan ĉifradon de inter-procezaj konektoj, kaj vi ankaŭ povas ebligi malvolan ĉifradon kiam vi konektas al Zimbra OSE-servoj. Por kontroli interprocezajn konektojn, enigu la jenajn komandojn:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePor ebligi trudan ĉifradon vi devas enigi:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDanke al ĉi tiuj komandoj, ĉiuj konektoj al prokuraj serviloj kaj poŝtserviloj estos ĉifritaj, kaj ĉiuj ĉi tiuj konektoj estos prokuritaj.
Tiel, sekvante niajn rekomendojn, vi povas ne nur atingi la plej altan poentaron en la sekureca provo de SSL-konekto, sed ankaŭ signife pliigi la sekurecon de la tuta infrastrukturo de Zimbra OSE.
Por ĉiuj demandoj rilataj al Zextras Suite, vi povas kontakti la Reprezentanton de Zextras Ekaterina Triandafilidi retpoŝte [retpoŝte protektita]
fonto: www.habr.com