Is e neart crioptachadh aon de na comharran as cudromaiche nuair a bhios tu a ’cleachdadh siostaman fiosrachaidh airson gnìomhachas, oir tha iad a’ dol an sàs ann an gluasad tòrr fiosrachaidh dìomhair a h-uile latha. Tha deuchainn neo-eisimeileach bho Qualys SSL Labs mar dhòigh air càileachd ceangal SSL a mheasadh. Leis gum faod an deuchainn seo a bhith air a ruith le neach sam bith, tha e gu sònraichte cudromach do sholaraichean SaaS an sgòr as àirde fhaighinn air an deuchainn seo. Chan e a-mhàin solaraichean SaaS, ach cuideachd tha iomairtean àbhaisteach a’ gabhail cùram mu chàileachd a ’cheangail SSL. Dhaibhsan, tha an deuchainn seo na chothrom math airson so-leòntachd a chomharrachadh agus a h-uile beàrn airson eucoirich saidhbear a dhùnadh ro-làimh.
Tha Zimbra OSE a 'ceadachadh dà sheòrsa de theisteanasan SSL. Is e a’ chiad fhear teisteanas fèin-shoidhnichte a thèid a chuir ris gu fèin-ghluasadach rè an stàladh. Tha an teisteanas seo an-asgaidh agus chan eil crìoch-ama ann, ga dhèanamh air leth freagarrach airson deuchainn a dhèanamh air Zimbra OSE no a chleachdadh a-mhàin taobh a-staigh lìonra a-staigh. Ach, nuair a bhios iad a’ logadh a-steach don neach-dèiligidh lìn, chì luchd-cleachdaidh rabhadh bhon bhrobhsair nach eil earbsa san teisteanas seo, agus gu cinnteach fàiligeadh an t-seirbheisiche agad an deuchainn bho Qualys SSL Labs.
Is e an dàrna fear teisteanas SSL malairteach air a shoidhnigeadh le ùghdarras teisteanais. Tha e furasta gabhail ri teisteanasan leithid seo le brobhsairean agus mar as trice bidh iad air an cleachdadh airson cleachdadh malairteach de Zimbra OSE. Dìreach às deidh an teisteanas malairteach a chuir a-steach gu ceart, tha Zimbra OSE 8.8.15 a 'sealltainn sgòr A anns an deuchainn bho Qualys SSL Labs. Is e toradh fìor mhath a tha seo, ach is e ar n-amas toradh A + a choileanadh.
Gus an sgòr as àirde fhaighinn anns an deuchainn bho Qualys SSL Labs nuair a bhios tu a’ cleachdadh Zimbra Co-obrachadh Suite Open-Source Edition, feumaidh tu grunn cheumannan a choileanadh:
1. Ag àrdachadh crìochan protocol Diffie-Hellman
Gu gnàthach, tha roghainnean protocol Diffie-Hellman air an suidheachadh gu pìosan 8.8.15 aig a h-uile co-phàirt Zimbra OSE 2048 a bhios a’ cleachdadh OpenSSL. Ann am prionnsapal, tha seo nas motha na gu leòr airson sgòr A + fhaighinn san deuchainn bho Qualys SSL Labs. Ach, ma tha thu ag ùrachadh bho dhreachan nas sine, is dòcha gum bi na roghainnean nas ìsle. Mar sin, thathas a’ moladh gun ruith an àithne zmdhparam set -new 2048 às deidh an ùrachadh a bhith deiseil, a mheudaicheas paramadairean protocol Diffie-Hellman gu 2048 pìosan iomchaidh, agus ma thogras tu, a’ cleachdadh an aon àithne, faodaidh tu àrdachadh luach nam paramadairean gu pìosan 3072 no 4096, a bhios air an aon làimh a’ leantainn gu àrdachadh ùine ginealach, ach air an làimh eile bidh buaidh mhath aige air ìre tèarainteachd an fhrithealaiche puist.
2. A' gabhail a-steach liosta de na ciphers a thathar a' cleachdadh
Gu gnàthach, tha Zimbra Collaborataion Suite Open-Source Edition a’ toirt taic do raon farsaing de chiphers làidir is lag, a bhios a’ cuairteachadh dàta a tha a’ dol thairis air ceangal tèarainte. Ach, tha cleachdadh ciphers lag na fhìor ana-cothrom nuair a thathar a’ sgrùdadh tèarainteachd ceangal SSL. Gus seo a sheachnadh, feumaidh tu liosta nan ciphers a chleachdar a rèiteachadh.
Gus seo a dhèanamh, cleachd an àithne zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Tha an àithne seo sa bhad a’ toirt a-steach seata de ciphers a tha air am moladh agus le taing dha, faodaidh an àithne sa bhad ciphers earbsach a thoirt a-steach don liosta agus cuir às do fheadhainn neo-earbsach. A-nis chan eil air fhàgail ach na nodan proxy cùil ath-thòiseachadh a’ cleachdadh an àithne ath-thòiseachadh zmproxyctl. Às deidh ath-thòiseachadh, thig na h-atharrachaidhean a chaidh a dhèanamh gu buil.
Mura h-eil an liosta seo a’ freagairt ort airson adhbhar air choireigin, faodaidh tu grunn ciphers lag a thoirt air falbh bhuaithe a’ cleachdadh an àithne zmprov mcf +zimbraSSLExcludeCipherSuites. Mar sin, mar eisimpleir, an àithne zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, a chuireas às gu tur cleachdadh ciphers RC4. Faodar an aon rud a dhèanamh le ciphers AES agus 3DES.
3. Dèan comas air HSTS
Tha feum cuideachd air uidheamachdan comasach gus crioptachadh ceangail a sparradh agus ath-bheothachadh seisean TLS gus sgòr foirfe fhaighinn ann an deuchainn Qualys SSL Labs. Gus an comas a thoirt dhaibh feumaidh tu an àithne a chuir a-steach zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Cuiridh an àithne seo an bann-cinn riatanach ris an rèiteachadh, agus airson na roghainnean ùra a thoirt gu buil feumaidh tu Zimbra OSE ath-thòiseachadh a’ cleachdadh an àithne ath-thòisich zmcontrol.
A-cheana aig an ìre seo, seallaidh an deuchainn bho Qualys SSL Labs rangachadh A +, ach ma tha thu airson tuilleadh leasachaidh a dhèanamh air tèarainteachd an fhrithealaiche agad, tha grunn cheumannan eile ann as urrainn dhut a ghabhail.
Mar eisimpleir, is urrainn dhut crioptachadh èiginneach de cheanglaichean eadar-phròiseas a chomasachadh, agus faodaidh tu cuideachd crioptachadh èignichte a chomasachadh nuair a nì thu ceangal ri seirbheisean Zimbra OSE. Gus sgrùdadh a dhèanamh air ceanglaichean eadar-phròiseas, cuir a-steach na h-òrdughan a leanas:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueGus crioptachadh èiginneach a chomasachadh feumaidh tu cuir a-steach:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETaing dha na h-òrdughan seo, thèid a h-uile ceangal ri frithealaichean progsaidh agus frithealaichean puist a chrioptachadh, agus thèid na ceanglaichean sin uile a chuir an àite neach-ionaid.
Mar sin, a’ leantainn ar molaidhean, chan urrainn dhut a-mhàin an sgòr as àirde a choileanadh ann an deuchainn tèarainteachd ceangail SSL, ach cuideachd tèarainteachd bun-structair Zimbra OSE gu lèir àrdachadh gu mòr.
Airson a h-uile ceist co-cheangailte ri Zextras Suite, faodaidh tu fios a chuir gu Riochdaire Zextras Ekaterina Triandafilidi air post-d [post-d fo dhìon]
Source: www.habr.com