Zifratzearen indarra negozioetarako informazio-sistemak erabiltzean adierazle garrantzitsuenetako bat da, egunero isilpeko informazio kopuru handi baten transferentzian parte hartzen baitute. SSL konexio baten kalitatea ebaluatzeko orokorrean onartutako bide bat Qualys SSL Labs-en proba independente bat da. Proba hau edonork exekutatu dezakeenez, bereziki garrantzitsua da SaaS hornitzaileek proba honetan ahalik eta puntuazio altuena lortzea. SaaS hornitzaileek ez ezik, enpresa arruntek ere arduratzen dute SSL konexioaren kalitatea. Haientzat, proba hau aukera bikaina da ahultasun potentzialak identifikatzeko eta ziberkriminalentzako zirrikitu guztiak aldez aurretik ixteko.
Zimbra OSEk bi SSL ziurtagiri mota onartzen ditu. Lehenengoa, instalazioan automatikoki gehitzen den autosinatutako ziurtagiria da. Ziurtagiri hau doakoa da eta ez du denbora mugarik, Zimbra OSE probatzeko edo barne sare batean soilik erabiltzeko aproposa da. Hala ere, web bezeroan saioa hasten denean, erabiltzaileek arakatzailearen abisua ikusiko dute ziurtagiri hau fidagarria ez dela dioen eta zure zerbitzariak Qualys SSL Labs-en proban huts egingo du behin betiko.
Bigarrena SSL ziurtagiri komertziala da ziurtagiri-agintari batek sinatutakoa. Horrelako ziurtagiriak erraz onartzen dituzte arakatzaileek eta normalean Zimbra OSE-ren erabilera komertzialetarako erabiltzen dira. Ziurtagiri komertziala behar bezala instalatu eta berehala, Zimbra OSE 8.8.15-ek A puntuazioa erakusten du Qualys SSL Labs-en proban. Emaitza bikaina da, baina gure helburua A+ emaitza lortzea da.
Qualys SSL Labs-en proban gehienezko puntuazioa lortzeko Zimbra Collaboration Suite Open-Source Edition erabiltzean, urrats batzuk bete behar dituzu:
1. Diffie-Hellman protokoloaren parametroak handitzea
Lehenespenez, OpenSSL erabiltzen duten Zimbra OSE 8.8.15 osagai guztiek Diffie-Hellman protokoloaren ezarpenak 2048 biteko ezarrita dituzte. Printzipioz, hori nahikoa da Qualys SSL Labs-en proban A+ puntuazioa lortzeko. Hala ere, bertsio zaharragoetatik eguneratzen ari bazara, baliteke ezarpenak baxuagoak izatea. Hori dela eta, eguneratzea amaitu ondoren, zmdhparam set -new 2048 komandoa exekutatzea gomendatzen da, Diffie-Hellman protokoloaren parametroak 2048 bit onartzera igoko dituena, eta nahi izanez gero, komando bera erabiliz, handitu dezakezu. parametroen balioa 3072 edo 4096 bit-era, alde batetik belaunaldi-denbora handitzea ekarriko duena, baina, bestetik, posta zerbitzariaren segurtasun mailan eragin positiboa izango du.
2. Erabilitako zifratuen zerrenda gomendatua barne
Lehenespenez, Zimbra Collaborataion Suite Open-Source Edition-k zifratze sendo eta ahulen sorta zabala onartzen du, konexio seguru baten bidez pasatzen diren datuak enkriptatzen dituztenak. Hala ere, zifratze ahulak erabiltzea desabantaila larria da SSL konexio baten segurtasuna egiaztatzen. Hori ekiditeko, erabilitako zifratuen zerrenda konfiguratu behar duzu.
Horretarako, erabili komandoa zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Komando honek berehala gomendatutako zifratu multzo bat barne hartzen du eta horri esker, komandoak berehala sartu ditzake zifratu fidagarriak zerrendan eta fidagarriak ez direnak baztertu. Orain geratzen dena da alderantzizko proxy nodoak berrabiaraztea zmproxyctl berrabiarazi komandoa erabiliz. Berrabiarazi ondoren, egindako aldaketak indarrean jarriko dira.
Zerrenda hau arrazoi bategatik edo besteagatik egokitzen ez bazaizu, hainbat zifra ahul kendu ditzakezu komandoa erabiliz. zmprov mcf +zimbraSSLExcludeCipherSuites. Beraz, adibidez, komandoa zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, RC4 zifraketen erabilera guztiz ezabatuko duena. Gauza bera egin daiteke AES eta 3DES zifraketekin.
3. Gaitu HSTS
Konexioaren enkriptatzea eta TLS saioa berreskuratzeko gaitutako mekanismoak ere beharrezkoak dira Qualys SSL Labs proban puntuazio ezin hobea lortzeko. Horiek gaitzeko komandoa sartu behar duzu zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Komando honek beharrezko goiburua gehituko dio konfigurazioari, eta ezarpen berriak indarrean izan daitezen Zimbra OSE berrabiarazi beharko duzu komandoa erabiliz. zmcontrol berrabiarazi.
Dagoeneko fase honetan, Qualys SSL Labs-en probak A+ kalifikazioa erakutsiko du, baina zure zerbitzariaren segurtasuna gehiago hobetu nahi baduzu, beste neurri batzuk har ditzakezu.
Adibidez, prozesuen arteko konexioen behartutako enkriptatzea gaitu dezakezu eta Zimbra OSE zerbitzuetara konektatzean behartutako enkriptatzea ere gaitu dezakezu. Prozesuen arteko konexioak egiaztatzeko, idatzi komando hauek:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueBehartutako enkriptatzea gaitzeko, idatzi behar duzu:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEKomando horiei esker, proxy-zerbitzarietarako eta posta-zerbitzarietarako konexio guztiak enkriptatuko dira, eta konexio horiek guztiak proxy-ak izango dira.
Horrela, gure gomendioei jarraituz, SSL konexioaren segurtasun-proban puntuazio altuena lortu ez ezik, Zimbra OSE azpiegitura osoaren segurtasuna nabarmen handitu ere egin dezakezu.
Zextras Suite-rekin lotutako galdera guztietarako, Zextras Ekaterina Triandafilidi-ko ordezkariarekin harremanetan jar zaitezke posta elektronikoz [posta elektroniko bidez babestua]
Iturria: www.habr.com