Tá neart criptithe ar cheann de na táscairí is tábhachtaí nuair a bhíonn córais faisnéise á n-úsáid le haghaidh gnó, mar go mbíonn baint ag gach lá le haistriú méid ollmhór faisnéise rúnda. Bealach a nglactar leis go ginearálta chun cáilíocht nasc SSL a mheas ná tástáil neamhspleách ó Qualys SSL Labs. Ós rud é gur féidir le duine ar bith an tástáil seo a rith, tá sé thar a bheith tábhachtach do sholáthraithe SaaS an scór is airde is féidir a fháil sa tástáil seo. Ní hamháin go bhfuil soláthraithe SaaS, ach freisin gnáthfhiontair cúram faoi chaighdeán an nasc SSL. Dóibh siúd, is deis iontach é an tástáil seo chun leochaileachtaí féideartha a aithint agus chun gach bealach bearna do chibearchoireachta a dhúnadh roimh ré.
Ceadaíonn Zimbra OSE dhá chineál deimhnithe SSL. Is é an chéad cheann ná deimhniú féin-shínithe a chuirtear leis go huathoibríoch le linn na suiteála. Tá an deimhniú seo saor in aisce agus níl aon teorainn ama leis, rud a fhágann go bhfuil sé oiriúnach chun Zimbra OSE a thástáil nó chun é a úsáid laistigh de líonra inmheánach amháin. Mar sin féin, agus iad ag logáil isteach sa chliant gréasáin, feicfidh úsáideoirí rabhadh ón mbrabhsálaí nach bhfuil an deimhniú seo iontaofa, agus is cinnte go dteipfidh ar do fhreastalaí an tástáil ó Qualys SSL Labs.
Is é an dara ceann ná deimhniú SSL tráchtála sínithe ag údarás deimhniúcháin. Glacann brabhsálaithe le deimhnithe den sórt sin go héasca agus de ghnáth úsáidtear iad le haghaidh úsáide tráchtála Zimbra OSE. Díreach tar éis an deimhniú tráchtála a shuiteáil i gceart, taispeánann Zimbra OSE 8.8.15 scór A sa tástáil ó Qualys SSL Labs. Is toradh iontach é seo, ach is é an sprioc atá againn ná toradh A+ a bhaint amach.
Chun an scór uasta a bhaint amach sa tástáil ó Qualys SSL Labs agus tú ag úsáid Zimbra Collaboration Suite Open-Source Edition, ní mór duit roinnt céimeanna a dhéanamh:
1. Paraiméadair phrótacal Diffie-Hellman a mhéadú
De réir réamhshocraithe, tá socruithe prótacail Diffie-Hellman socraithe go 8.8.15 giotán ag gach comhpháirt Zimbra OSE 2048 a úsáideann OpenSSL. I bprionsabal, tá sé seo níos mó ná go leor chun scór A+ a fháil sa tástáil ó Qualys SSL Labs. Mar sin féin, má tá tú ag uasghrádú ó leaganacha níos sine, d'fhéadfadh go mbeadh na socruithe níos ísle. Dá bhrí sin, moltar tar éis an nuashonrú a bheith críochnaithe, an t-ordú zmdhparam set -new 2048 a reáchtáil, a mhéadóidh paraiméadair phrótacal Diffie-Hellman go 2048 giotán inghlactha, agus más mian leat, ag baint úsáide as an ordú céanna, is féidir leat a mhéadú luach na bparaiméadar go 3072 nó 4096 giotán, a bheidh ar thaobh amháin mar thoradh ar am giniúna méadaithe, ach ar an láimh eile beidh tionchar dearfach aige ar leibhéal slándála an fhreastalaí ríomhphoist.
2. Liosta molta de na sifir a úsáideadh san áireamh
De réir réamhshocraithe, tacaíonn Zimbra Collaborataion Suite Open-Foinse Edition le raon leathan de sifféar láidir agus lag, a chripíonn sonraí a théann thar nasc slán. Mar sin féin, is míbhuntáiste tromchúiseach é úsáid ciphers lag nuair a dhéantar seiceáil ar shlándáil nasc SSL. Chun é seo a sheachaint, ní mór duit liosta na n-síféar a úsáidtear a chumrú.
Chun seo a dhéanamh, bain úsáid as an ordú zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Cuimsíonn an t-ordú seo sraith de siffrí molta láithreach agus a bhuíochas dó, is féidir leis an ordú sifféar iontaofa a áireamh láithreach sa liosta agus na cinn neamhiontaofa a eisiamh. Anois níl fágtha ach na nóid seachfhreastalaí droim ar ais a atosú ag baint úsáide as an ordú atosú zmproxyctl. Tar éis atosaigh, tiocfaidh na hathruithe i bhfeidhm.
Mura n-oireann an liosta seo duit ar chúis amháin nó ar chúis eile, is féidir leat roinnt scipéir laga a bhaint de leis an ordú zmprov mcf +zimbraSSLExcludeCipherSuites. Mar sin, mar shampla, an t-ordú zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, rud a chuirfidh deireadh le húsáid ciphers RC4 go hiomlán. Is féidir an rud céanna a dhéanamh le ciphers AES agus 3DES.
3. Cumasaigh HSTS
Teastaíonn meicníochtaí cumasaithe freisin chun criptiú nasc a bhrú agus aisghabháil seisiún TLS chun scór foirfe a bhaint amach i dtástáil Qualys SSL Labs. Chun iad a chumasú ní mór duit an t-ordú a chur isteach zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Cuirfidh an t-ordú seo an ceanntásc riachtanach leis an chumraíocht, agus le go dtiocfaidh na socruithe nua i bhfeidhm beidh ort Zimbra OSE a atosú leis an ordú atosú zmcontrol.
Cheana féin ag an gcéim seo, léireoidh an tástáil ó Qualys SSL Labs rátáil A+, ach más mian leat slándáil do fhreastalaí a fheabhsú tuilleadh, tá roinnt beart eile is féidir leat a dhéanamh.
Mar shampla, is féidir leat criptiú éigean ar naisc idirphróisis a chumasú, agus is féidir leat criptiú éigean a chumasú freisin agus tú ag nascadh le seirbhísí Zimbra OSE. Chun naisc idirphróisis a sheiceáil, cuir isteach na horduithe seo a leanas:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueChun criptiú éigeantach a chumasú ní mór duit:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEA bhuí leis na horduithe seo, déanfar gach nasc le seachfhreastalaí agus le freastalaithe ríomhphoist a chriptiú, agus déanfar na naisc seo go léir a sheachfhreastalaí.
Mar sin, de réir ár moltaí, ní féidir leat ní hamháin an scór is airde a bhaint amach sa tástáil slándála nasc SSL, ach freisin slándáil bhonneagar iomlán Zimbra OSE a mhéadú go suntasach.
I gcás gach ceist a bhaineann le Zextras Suite, is féidir leat teagmháil a dhéanamh le hIonadaí Zextras Ekaterina Triandafilidi trí ríomhphost [ríomhphost faoi chosaint]
Foinse: will.com