Գաղտնագրման ուժը բիզնեսի համար տեղեկատվական համակարգեր օգտագործելիս ամենակարեւոր ցուցանիշներից մեկն է, քանի որ ամեն օր նրանք ներգրավված են հսկայական քանակությամբ գաղտնի տեղեկատվության փոխանցման մեջ: SSL կապի որակի գնահատման ընդհանուր ընդունված միջոցը Qualys SSL Labs-ի անկախ թեստն է: Քանի որ այս թեստը կարող է վարել յուրաքանչյուրը, հատկապես կարևոր է SaaS պրովայդերների համար այս թեստի առավելագույն հնարավոր միավորը ստանալը: SSL կապի որակի մասին մտածում են ոչ միայն SaaS պրովայդերները, այլև սովորական ձեռնարկությունները։ Նրանց համար այս թեստը հիանալի հնարավորություն է բացահայտելու պոտենցիալ խոցելիությունը և նախապես փակելու բոլոր բացերը կիբերհանցագործների համար։
Zimbra OSE-ն թույլ է տալիս երկու տեսակի SSL վկայագրեր: Առաջինը ինքնաստորագրված վկայագիր է, որն ավտոմատ կերպով ավելացվում է տեղադրման ժամանակ: Այս վկայագիրը անվճար է և չունի ժամանակային սահմանափակում, ինչը այն դարձնում է իդեալական Zimbra OSE-ի փորձարկման կամ բացառապես ներքին ցանցում օգտագործելու համար: Այնուամենայնիվ, երբ մուտք գործեք վեբ հաճախորդ, օգտատերերը զննարկիչից կտեսնեն նախազգուշացում այն մասին, որ այս վկայագիրը անվստահելի է, և ձեր սերվերը անպայմանորեն չի անցնի Qualys SSL Labs-ի փորձարկումը:
Երկրորդը առևտրային SSL վկայագիր է, որը ստորագրված է սերտիֆիկացման մարմնի կողմից: Նման վկայագրերը հեշտությամբ ընդունվում են բրաուզերների կողմից և սովորաբար օգտագործվում են Zimbra OSE-ի առևտրային օգտագործման համար: Առևտրային վկայագրի ճիշտ տեղադրումից անմիջապես հետո Zimbra OSE 8.8.15-ը ցույց է տալիս A միավոր Qualys SSL Labs-ի թեստի մեջ: Սա գերազանց արդյունք է, բայց մեր նպատակը A+ արդյունքի հասնելն է։
Qualys SSL Labs-ի թեստի առավելագույն միավորին հասնելու համար Zimbra Collaboration Suite Open-Source Edition-ն օգտագործելիս դուք պետք է կատարեք մի շարք քայլեր.
1. Diffie-Hellman արձանագրության պարամետրերի ավելացում
Լռելյայնորեն, բոլոր Zimbra OSE 8.8.15 բաղադրիչները, որոնք օգտագործում են OpenSSL-ը, ունեն Diffie-Hellman արձանագրության կարգավորումներ՝ սահմանված 2048 բիթ: Սկզբունքորեն, սա ավելի քան բավարար է Qualys SSL Labs-ի թեստում A+ միավոր ստանալու համար: Այնուամենայնիվ, եթե դուք թարմացնում եք հին տարբերակներից, կարգավորումները կարող են ավելի ցածր լինել: Հետևաբար, խորհուրդ է տրվում թարմացման ավարտից հետո գործարկել zmdhparam set -new 2048 հրամանը, որը կբարձրացնի Diffie-Hellman արձանագրության պարամետրերը մինչև ընդունելի 2048 բիթ, իսկ ցանկության դեպքում՝ օգտագործելով նույն հրամանը, կարող եք ավելացնել: պարամետրերի արժեքը մինչև 3072 կամ 4096 բիթ, ինչը մի կողմից կհանգեցնի գեներացման ժամանակի ավելացման, բայց մյուս կողմից դրական ազդեցություն կունենա փոստային սերվերի անվտանգության մակարդակի վրա:
2. Ներառյալ օգտագործված ծածկագրերի առաջարկվող ցանկը
Լռելյայնորեն, Zimbra Collaborataion Suite Open-Source Edition-ն աջակցում է ուժեղ և թույլ ծածկագրերի լայն շրջանակ, որոնք ծածկագրում են անվտանգ կապով անցնող տվյալները: Այնուամենայնիվ, թույլ ծածկագրերի օգտագործումը լուրջ թերություն է SSL կապի անվտանգությունը ստուգելիս: Դրանից խուսափելու համար անհրաժեշտ է կարգավորել օգտագործվող ծածկագրերի ցանկը:
Դա անելու համար օգտագործեք հրամանը zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Այս հրամանը անմիջապես ներառում է առաջարկվող ծածկագրերի մի շարք և դրա շնորհիվ հրամանը կարող է անմիջապես ներառել հուսալի ծածկագրերը ցանկում և բացառել անվստահելիները: Այժմ մնում է միայն վերագործարկել հակադարձ պրոքսի հանգույցները՝ օգտագործելով zmproxyctl վերագործարկման հրամանը: Վերագործարկումից հետո կատարված փոփոխություններն ուժի մեջ կմտնեն:
Եթե այս ցանկը ձեզ չի համապատասխանում այս կամ այն պատճառով, դուք կարող եք հեռացնել մի շարք թույլ ծածկագրեր դրանից՝ օգտագործելով հրամանը. zmprov mcf +zimbraSSLExcludeCipherSuites
. Այսպիսով, օրինակ, հրամանը zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
, որն ամբողջությամբ կվերացնի RC4 ծածկագրերի օգտագործումը։ Նույնը կարելի է անել AES և 3DES ծածկագրերով:
3. Միացնել HSTS-ը
Միացման մեխանիզմները՝ ստիպելու կապի գաղտնագրումը և TLS նստաշրջանի վերականգնումը, նույնպես պահանջվում են Qualys SSL Labs թեստում կատարյալ միավոր ստանալու համար: Դրանք միացնելու համար դուք պետք է մուտքագրեք հրամանը zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. Այս հրամանը կավելացնի անհրաժեշտ վերնագիրը կազմաձևում, և որպեսզի նոր կարգավորումներն ուժի մեջ մտնեն, դուք պետք է վերագործարկեք Zimbra OSE-ն՝ օգտագործելով հրամանը: zmcontrol վերագործարկել.
Արդեն այս փուլում Qualys SSL Labs-ի թեստը ցույց կտա A+ վարկանիշը, բայց եթե ցանկանում եք էլ ավելի բարելավել ձեր սերվերի անվտանգությունը, կան մի շարք այլ միջոցներ, որոնք կարող եք ձեռնարկել:
Օրինակ, դուք կարող եք միացնել միջգործընթացային կապերի հարկադիր գաղտնագրումը, ինչպես նաև կարող եք ակտիվացնել հարկադիր ծածկագրումը Zimbra OSE ծառայություններին միանալիս: Միջգործընթացային կապերը ստուգելու համար մուտքագրեք հետևյալ հրամանները.
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
Հարկադիր կոդավորումը միացնելու համար անհրաժեշտ է մուտքագրել.
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
Այս հրամանների շնորհիվ բոլոր կապերը պրոքսի սերվերների և փոստային սերվերների հետ կգաղտնագրվեն, և այդ բոլոր կապերը կկոդավորվեն:
Այսպիսով, հետևելով մեր առաջարկություններին, դուք կարող եք ոչ միայն հասնել ամենաբարձր միավորի SSL կապի անվտանգության թեստում, այլև զգալիորեն բարձրացնել Zimbra OSE-ի ողջ ենթակառուցվածքի անվտանգությունը:
Zextras Suite-ի հետ կապված բոլոր հարցերի համար կարող եք կապվել Zextras-ի ներկայացուցիչ Եկատերինա Տրիանդաֆիլիդիի հետ էլ. [էլեկտրոնային փոստով պաշտպանված]
Source: www.habr.com