Salauksen vahvuus on yksi tärkeimmistä indikaattoreista käytettäessä tietojärjestelmiä liiketoiminnassa, koska ne ovat mukana joka päivä valtavan luottamuksellisen tiedon siirtämisessä. Yleisesti hyväksytty tapa arvioida SSL-yhteyden laatua on Qualys SSL Labsin itsenäinen testi. Koska tämän testin voi suorittaa kuka tahansa, SaaS-palveluntarjoajille on erityisen tärkeää saada korkein mahdollinen pistemäärä tästä testistä. Ei vain SaaS-palveluntarjoajat, vaan myös tavalliset yritykset välittävät SSL-yhteyden laadusta. Heille tämä testi on erinomainen tilaisuus tunnistaa mahdolliset haavoittuvuudet ja sulkea kaikki porsaanreiät kyberrikollisilta etukäteen.
Zimbra OSE sallii kahden tyyppiset SSL-varmenteet. Ensimmäinen on itse allekirjoitettu varmenne, joka lisätään automaattisesti asennuksen aikana. Tämä sertifikaatti on ilmainen eikä sillä ole aikarajaa, joten se on ihanteellinen Zimbra OSE:n testaamiseen tai sen käyttöön yksinomaan sisäisessä verkossa. Verkkoasiakasohjelmaan kirjautuessaan käyttäjät näkevät kuitenkin selaimelta varoituksen, että tämä varmenne on epäluotettava, ja palvelimesi epäonnistuu varmasti Qualys SSL Labsin testissä.
Toinen on kaupallinen SSL-sertifikaatti, jonka varmenneviranomainen on allekirjoittanut. Selaimet hyväksyvät helposti tällaiset sertifikaatit, ja niitä käytetään yleensä Zimbra OSE:n kaupalliseen käyttöön. Välittömästi kaupallisen sertifikaatin oikean asennuksen jälkeen Zimbra OSE 8.8.15 näyttää A-pisteen Qualys SSL Labsin testissä. Tämä on erinomainen tulos, mutta tavoitteemme on saavuttaa A+ tulos.
Saavuttaaksesi Qualys SSL Labsin testin maksimipisteet, kun käytät Zimbra Collaboration Suite Open-Source Edition -versiota, sinun on suoritettava useita vaiheita:
1. Diffie-Hellman-protokollan parametrien lisääminen
Oletusarvoisesti kaikissa OpenSSL:ää käyttävissä Zimbra OSE 8.8.15 -komponenteissa Diffie-Hellman-protokollan asetuksiksi on asetettu 2048 bittiä. Periaatteessa tämä on enemmän kuin tarpeeksi A+-pisteen saamiseksi Qualys SSL Labsin testissä. Jos olet kuitenkin päivittämässä vanhemmista versioista, asetukset voivat olla alhaisemmat. Siksi on suositeltavaa, että päivityksen päätyttyä suoritat komennon zmdhparam set -new 2048, joka kasvattaa Diffie-Hellman-protokollan parametrit hyväksyttävään 2048 bittiin, ja halutessasi voit samalla komennolla suurentaa parametrien arvoksi 3072 tai 4096 bittiä, mikä toisaalta johtaa generointiajan pidentämiseen, mutta toisaalta vaikuttaa positiivisesti sähköpostipalvelimen suojaustasoon.
2. Mukana suositeltu luettelo käytetyistä salakirjoista
Zimbra Collaborataion Suite Open-Source Edition tukee oletuksena monia vahvoja ja heikkoja salauskoodeja, jotka salaavat suojatun yhteyden kautta kulkevan tiedon. Heikkojen salausten käyttö on kuitenkin vakava haitta SSL-yhteyden turvallisuutta tarkistettaessa. Tämän välttämiseksi sinun on määritettävä käytettyjen salausten luettelo.
Voit tehdä tämän käyttämällä komentoa zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Tämä komento sisältää välittömästi joukon suositeltuja salauksia ja sen ansiosta komento voi välittömästi sisällyttää luetteloon luotettavat salaukset ja sulkea pois epäluotettavat. Nyt jäljellä on vain käynnistää käänteiset välityspalvelinsolmut uudelleen käyttämällä zmproxyctl restart -komentoa. Uudelleenkäynnistyksen jälkeen tehdyt muutokset astuvat voimaan.
Jos tämä luettelo ei syystä tai toisesta sovi sinulle, voit poistaa siitä useita heikkoja salauksia komennolla zmprov mcf +zimbraSSLExcludeCipherSuites
. Joten esimerkiksi komento zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
, mikä poistaa kokonaan RC4-salausten käytön. Sama voidaan tehdä AES- ja 3DES-salauksilla.
3. Ota HSTS käyttöön
Käytössä olevia mekanismeja yhteyden salauksen ja TLS-istunnon palautuksen pakottamiseksi tarvitaan myös täydellisen tuloksen saavuttamiseksi Qualys SSL Labs -testissä. Jos haluat ottaa ne käyttöön, sinun on annettava komento zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. Tämä komento lisää tarvittavan otsikon kokoonpanoon, ja jotta uudet asetukset tulevat voimaan, sinun on käynnistettävä Zimbra OSE uudelleen komennolla zmcontrol uudelleenkäynnistys.
Jo tässä vaiheessa Qualys SSL Labsin testi näyttää A+-luokituksen, mutta jos haluat parantaa palvelimesi turvallisuutta edelleen, voit tehdä useita muita toimenpiteitä.
Voit esimerkiksi ottaa käyttöön prosessien välisten yhteyksien pakotetun salauksen, ja voit myös ottaa käyttöön pakotetun salauksen muodostaessasi yhteyden Zimbra OSE -palveluihin. Voit tarkistaa prosessien väliset yhteydet antamalla seuraavat komennot:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
Jos haluat ottaa pakotetun salauksen käyttöön, sinun on annettava:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
Näiden komentojen ansiosta kaikki yhteydet välityspalvelimiin ja sähköpostipalvelimiin salataan ja kaikki nämä yhteydet ovat välityspalvelinta.
Siten suosituksemme mukaisesti et voi vain saavuttaa korkeimman pistemäärän SSL-yhteyden suojaustestissä, vaan myös parantaa merkittävästi koko Zimbra OSE -infrastruktuurin turvallisuutta.
Kaikissa Zextras Suiteen liittyvissä kysymyksissä voit ottaa yhteyttä Zextrasin edustajaan Ekaterina Triandafilidiin sähköpostitse [sähköposti suojattu]
Lähde: will.com