La force du cryptage est l'un des indicateurs les plus importants lors de l'utilisation des systèmes d'information pour les entreprises, car ils sont chaque jour impliqués dans le transfert d'une énorme quantité d'informations confidentielles. Un moyen généralement accepté d'évaluer la qualité d'une connexion SSL est un test indépendant de Qualys SSL Labs. Étant donné que ce test peut être exécuté par n'importe qui, il est particulièrement important pour les fournisseurs SaaS d'obtenir le score le plus élevé possible à ce test. Non seulement les fournisseurs SaaS, mais aussi les entreprises ordinaires se soucient de la qualité de la connexion SSL. Pour eux, ce test est une excellente opportunité d’identifier les vulnérabilités potentielles et de combler à l’avance toutes les failles pour les cybercriminels.
Zimbra OSE autorise deux types de certificats SSL. Le premier est un certificat auto-signé qui est automatiquement ajouté lors de l'installation. Ce certificat est gratuit et sans limite de durée, ce qui le rend idéal pour tester Zimbra OSE ou pour l'utiliser exclusivement au sein d'un réseau interne. Cependant, lors de la connexion au client Web, les utilisateurs verront un avertissement du navigateur indiquant que ce certificat n'est pas fiable, et votre serveur échouera définitivement au test de Qualys SSL Labs.
Le second est un certificat SSL commercial signé par une autorité de certification. Ces certificats sont facilement acceptés par les navigateurs et sont généralement utilisés à des fins commerciales de Zimbra OSE. Immédiatement après l'installation correcte du certificat commercial, Zimbra OSE 8.8.15 affiche un score A au test de Qualys SSL Labs. C'est un excellent résultat, mais notre objectif est d'obtenir un résultat A+.
Afin d'obtenir le score maximum au test de Qualys SSL Labs lors de l'utilisation de Zimbra Collaboration Suite Open-Source Edition, vous devez suivre un certain nombre d'étapes :
1. Augmentation des paramètres du protocole Diffie-Hellman
Par défaut, tous les composants Zimbra OSE 8.8.15 qui utilisent OpenSSL ont des paramètres de protocole Diffie-Hellman définis sur 2048 2048 bits. En principe, c'est largement suffisant pour obtenir un score A+ au test de Qualys SSL Labs. Cependant, si vous effectuez une mise à niveau à partir d'anciennes versions, les paramètres peuvent être inférieurs. Par conséquent, il est recommandé qu'une fois la mise à jour terminée, exécutez la commande zmdhparam set -new 2048, qui augmentera les paramètres du protocole Diffie-Hellman à 3072 bits acceptables, et si vous le souhaitez, en utilisant la même commande, vous pourrez augmenter la valeur des paramètres à 4096 ou XNUMX bits, ce qui d'une part entraînera une augmentation du temps de génération, mais d'autre part aura un effet positif sur le niveau de sécurité du serveur de messagerie.
2. Y compris une liste recommandée de chiffrements utilisés
Par défaut, Zimbra Collaborataion Suite Open-Source Edition prend en charge une large gamme de chiffrements forts et faibles, qui chiffrent les données transitant via une connexion sécurisée. Cependant, l'utilisation de chiffrements faibles constitue un sérieux inconvénient lors de la vérification de la sécurité d'une connexion SSL. Afin d'éviter cela, vous devez configurer la liste des chiffrements utilisés.
Pour ce faire, utilisez la commande zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Cette commande inclut immédiatement un ensemble de chiffrements recommandés et grâce à elle, la commande peut immédiatement inclure les chiffrements fiables dans la liste et exclure ceux qui ne sont pas fiables. Il ne reste plus qu'à redémarrer les nœuds proxy inverses à l'aide de la commande zmproxyctl restart. Après un redémarrage, les modifications apportées prendront effet.
Si cette liste ne vous convient pas pour une raison ou une autre, vous pouvez en supprimer un certain nombre de chiffrements faibles à l'aide de la commande zmprov mcf +zimbraSSLExcludeCipherSuites. Ainsi, par exemple, la commande zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ce qui éliminera complètement l’utilisation des chiffrements RC4. La même chose peut être faite avec les chiffrements AES et 3DES.
3. Activer HSTS
Des mécanismes activés pour forcer le cryptage de la connexion et la récupération de session TLS sont également nécessaires pour obtenir un score parfait au test Qualys SSL Labs. Pour les activer, vous devez entrer la commande zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Cette commande ajoutera l'en-tête nécessaire à la configuration, et pour que les nouveaux paramètres prennent effet, vous devrez redémarrer Zimbra OSE à l'aide de la commande redémarrage de zmcontrol.
Déjà à ce stade, le test de Qualys SSL Labs affichera une note A+, mais si vous souhaitez améliorer encore la sécurité de votre serveur, vous pouvez prendre un certain nombre d'autres mesures.
Par exemple, vous pouvez activer le cryptage forcé des connexions inter-processus, et vous pouvez également activer le cryptage forcé lors de la connexion aux services Zimbra OSE. Pour vérifier les connexions interprocessus, entrez les commandes suivantes :
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePour activer le cryptage forcé, saisissez :
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGrâce à ces commandes, toutes les connexions aux serveurs proxy et aux serveurs de messagerie seront cryptées, et toutes ces connexions seront proxy.
Ainsi, en suivant nos recommandations, vous pouvez non seulement obtenir le score le plus élevé au test de sécurité de connexion SSL, mais également augmenter considérablement la sécurité de l'ensemble de l'infrastructure Zimbra OSE.
Pour toutes les questions relatives à Zextras Suite, vous pouvez contacter le représentant de Zextras Ekaterina Triandafilidi par e-mail [email protected]
Source: habr.com