Kekuatan enkripsi adalah salah satu indikator terpenting ketika menggunakan sistem informasi untuk bisnis, karena setiap hari mereka terlibat dalam transfer sejumlah besar informasi rahasia. Cara yang diterima secara umum untuk menilai kualitas koneksi SSL adalah pengujian independen dari Qualys SSL Labs. Karena tes ini dapat dijalankan oleh siapa saja, sangat penting bagi penyedia SaaS untuk mendapatkan skor setinggi mungkin pada tes ini. Tidak hanya penyedia SaaS, tetapi juga perusahaan biasa yang peduli dengan kualitas koneksi SSL. Bagi mereka, tes ini adalah peluang bagus untuk mengidentifikasi potensi kerentanan dan menutup semua celah bagi penjahat dunia maya terlebih dahulu.
Zimbra OSE mengizinkan dua jenis sertifikat SSL. Yang pertama adalah sertifikat yang ditandatangani sendiri yang secara otomatis ditambahkan selama instalasi. Sertifikat ini gratis dan tidak memiliki batasan waktu, sehingga ideal untuk menguji Zimbra OSE atau menggunakannya secara eksklusif dalam jaringan internal. Namun, saat masuk ke klien web, pengguna akan melihat peringatan dari browser bahwa sertifikat ini tidak dipercaya, dan server Anda pasti akan gagal dalam pengujian dari Qualys SSL Labs.
Yang kedua adalah sertifikat SSL komersial yang ditandatangani oleh otoritas sertifikasi. Sertifikat tersebut mudah diterima oleh browser dan biasanya digunakan untuk penggunaan komersial Zimbra OSE. Segera setelah pemasangan sertifikat komersial yang benar, Zimbra OSE 8.8.15 menunjukkan skor A dalam pengujian dari Qualys SSL Labs. Ini adalah hasil yang luar biasa, namun tujuan kami adalah mencapai hasil A+.
Untuk mencapai skor maksimal dalam tes dari Qualys SSL Labs saat menggunakan Zimbra Collaboration Suite Open-Source Edition, Anda harus menyelesaikan beberapa langkah:
1. Meningkatkan parameter protokol Diffie-Hellman
Secara default, semua komponen Zimbra OSE 8.8.15 yang menggunakan OpenSSL memiliki pengaturan protokol Diffie-Hellman yang diatur ke 2048 bit. Pada prinsipnya, ini lebih dari cukup untuk mendapatkan nilai A+ dalam ujian dari Qualys SSL Labs. Namun, jika Anda meningkatkan dari versi yang lebih lama, pengaturannya mungkin lebih rendah. Oleh karena itu, disarankan setelah pembaruan selesai, jalankan perintah zmdhparam set -new 2048, yang akan meningkatkan parameter protokol Diffie-Hellman ke 2048 bit yang dapat diterima, dan jika diinginkan, menggunakan perintah yang sama, Anda dapat meningkatkan nilai parameter menjadi 3072 atau 4096 bit, yang di satu sisi akan meningkatkan waktu pembuatan, namun di sisi lain akan berdampak positif pada tingkat keamanan server email.
2. Menyertakan daftar rekomendasi cipher yang digunakan
Secara default, Zimbra Collaborataion Suite Open-Source Edition mendukung beragam sandi kuat dan lemah, yang mengenkripsi data yang melewati koneksi aman. Namun, penggunaan sandi yang lemah merupakan kerugian serius saat memeriksa keamanan koneksi SSL. Untuk menghindari hal ini, Anda perlu mengkonfigurasi daftar cipher yang digunakan.
Untuk melakukan ini, gunakan perintah zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Perintah ini segera menyertakan sekumpulan sandi yang direkomendasikan dan berkat itu, perintah tersebut dapat segera memasukkan sandi yang andal ke dalam daftar dan mengecualikan sandi yang tidak dapat diandalkan. Sekarang yang tersisa hanyalah me-restart node proxy terbalik menggunakan perintah zmproxyctl restart. Setelah reboot, perubahan yang dilakukan akan berlaku.
Jika daftar ini tidak cocok untuk Anda karena satu dan lain alasan, Anda dapat menghapus sejumlah sandi yang lemah menggunakan perintah zmprov mcf +zimbraSSLExcludeCipherSuites. Jadi, misalnya perintah zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, yang sepenuhnya akan menghilangkan penggunaan sandi RC4. Hal yang sama dapat dilakukan dengan cipher AES dan 3DES.
3. Aktifkan HSTS
Mekanisme yang diaktifkan untuk memaksa enkripsi koneksi dan pemulihan sesi TLS juga diperlukan untuk mencapai skor sempurna dalam tes Qualys SSL Labs. Untuk mengaktifkannya, Anda harus memasukkan perintah zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Perintah ini akan menambahkan header yang diperlukan ke konfigurasi, dan agar pengaturan baru dapat diterapkan, Anda harus me-restart Zimbra OSE menggunakan perintah zmcontrol dimulai ulang.
Pada tahap ini, pengujian dari Qualys SSL Labs akan menunjukkan peringkat A+, namun jika Anda ingin lebih meningkatkan keamanan server Anda, ada sejumlah tindakan lain yang dapat Anda ambil.
Misalnya, Anda dapat mengaktifkan enkripsi paksa pada koneksi antar-proses, dan Anda juga dapat mengaktifkan enkripsi paksa saat menyambung ke layanan Zimbra OSE. Untuk memeriksa koneksi antarproses, masukkan perintah berikut:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueUntuk mengaktifkan enkripsi paksa, Anda harus memasukkan:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEBerkat perintah ini, semua koneksi ke server proxy dan server email akan dienkripsi, dan semua koneksi ini akan diproksi.
Oleh karena itu, dengan mengikuti rekomendasi kami, Anda tidak hanya dapat mencapai skor tertinggi dalam uji keamanan koneksi SSL, namun juga secara signifikan meningkatkan keamanan seluruh infrastruktur Zimbra OSE.
Untuk segala pertanyaan terkait Zextras Suite, Anda dapat menghubungi Perwakilan Zextras Ekaterina Triandafilidi melalui email [email dilindungi]
Sumber: www.habr.com