Styrkur dulkóðunar er einn mikilvægasti vísbendingin þegar upplýsingakerfi eru notuð fyrir viðskipti, því á hverjum degi taka þau þátt í flutningi á miklu magni trúnaðarupplýsinga. Almennt viðurkennd leið til að meta gæði SSL tengingar er óháð próf frá Qualys SSL Labs. Þar sem allir geta keyrt þetta próf er það sérstaklega mikilvægt fyrir SaaS veitendur að fá hæstu mögulegu einkunn á þessu prófi. Ekki aðeins SaaS veitendur, heldur einnig venjuleg fyrirtæki hugsa um gæði SSL tengingarinnar. Fyrir þá er þetta próf frábært tækifæri til að bera kennsl á hugsanlega veikleika og loka öllum glufum fyrir netglæpamenn fyrirfram.
Zimbra OSE leyfir tvenns konar SSL vottorð. Hið fyrra er sjálfundirritað vottorð sem er sjálfkrafa bætt við við uppsetningu. Þetta vottorð er ókeypis og hefur engin tímatakmörk, sem gerir það tilvalið til að prófa Zimbra OSE eða nota það eingöngu innan innra nets. Hins vegar, þegar þeir skrá sig inn á vefþjóninn, munu notendur sjá viðvörun frá vafranum um að þetta vottorð sé ótraust og þjónninn þinn mun örugglega falla í prófinu frá Qualys SSL Labs.
Annað er viðskiptalegt SSL vottorð undirritað af vottunaryfirvöldum. Slík vottorð eru auðveldlega samþykkt af vöfrum og eru venjulega notuð í viðskiptalegum tilgangi á Zimbra OSE. Strax eftir rétta uppsetningu viðskiptaskírteinisins sýnir Zimbra OSE 8.8.15 A stig í prófinu frá Qualys SSL Labs. Þetta er frábær árangur en markmið okkar er að ná A+ árangri.
Til þess að ná hámarkseinkunn í prófinu frá Qualys SSL Labs þegar þú notar Zimbra Collaboration Suite Open-Source Edition þarftu að ljúka nokkrum skrefum:
1. Auka færibreytur Diffie-Hellman samskiptareglunnar
Sjálfgefið er að allir Zimbra OSE 8.8.15 íhlutir sem nota OpenSSL hafa Diffie-Hellman samskiptareglur stilltar á 2048 bita. Í grundvallaratriðum er þetta meira en nóg til að fá A+ einkunn í prófinu frá Qualys SSL Labs. Hins vegar, ef þú ert að uppfæra úr eldri útgáfum, gætu stillingarnar verið lægri. Þess vegna er mælt með því að eftir að uppfærslunni er lokið, keyrðu skipunina zmdhparam set -new 2048, sem mun auka færibreytur Diffie-Hellman samskiptareglunnar í viðunandi 2048 bita, og ef þess er óskað, með sömu skipun, geturðu aukið gildi færibreytanna í 3072 eða 4096 bita, sem annars vegar mun leiða til aukins kynslóðartíma, en hins vegar hafa jákvæð áhrif á öryggisstig póstþjónsins.
2. Þar á meðal ráðlagðan lista yfir dulmál sem notuð eru
Sjálfgefið er að Zimbra Collaborataion Suite Open-Source Edition styður mikið úrval af sterkum og veikum dulmáli, sem dulkóða gögn sem fara yfir örugga tengingu. Hins vegar er notkun veikburða dulmáls alvarlegur ókostur þegar kannað er öryggi SSL tengingar. Til að forðast þetta þarftu að stilla lista yfir dulmál sem notuð eru.
Til að gera þetta, notaðu skipunina zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Þessi skipun inniheldur samstundis sett af ráðlögðum dulmáli og þökk sé henni getur skipunin strax innihaldið áreiðanlegar dulmál á listanum og útilokað óáreiðanlegar. Nú er allt sem er eftir að endurræsa öfuga proxy hnúta með því að nota zmproxyctl endurræsa skipunina. Eftir endurræsingu munu breytingarnar sem gerðar eru taka gildi.
Ef þessi listi hentar þér ekki af einni eða annarri ástæðu geturðu fjarlægt fjölda veikburða dulmáls úr honum með skipuninni zmprov mcf +zimbraSSLExcludeCipherSuites. Svo til dæmis skipunin zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, sem mun alveg útrýma notkun RC4 dulmáls. Sama er hægt að gera með AES og 3DES dulmáli.
3. Virkja HSTS
Virkt kerfi til að knýja fram dulkóðun tengingar og endurheimt TLS lotu eru einnig nauðsynlegar til að ná fullkomnu skori í Qualys SSL Labs prófinu. Til að virkja þá verður þú að slá inn skipunina zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Þessi skipun mun bæta nauðsynlegum haus við uppsetninguna og til að nýju stillingarnar taki gildi verður þú að endurræsa Zimbra OSE með skipuninni zmcontrol endurræsa.
Þegar á þessu stigi mun prófið frá Qualys SSL Labs sýna A+ einkunn, en ef þú vilt bæta enn frekar öryggi netþjónsins þíns, þá eru ýmsar aðrar ráðstafanir sem þú getur gert.
Til dæmis geturðu virkjað þvingaða dulkóðun á tengingum milli vinnsluferla og þú getur líka virkjað þvingaða dulkóðun þegar þú tengist Zimbra OSE þjónustu. Til að athuga millivinnslutengingar skaltu slá inn eftirfarandi skipanir:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueTil að virkja þvingaða dulkóðun þarftu að slá inn:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEÞökk sé þessum skipunum verða allar tengingar við proxy- og póstþjóna dulkóðaðar og allar þessar tengingar verða með proxy.
Þannig, eftir tilmælum okkar, geturðu ekki aðeins náð hæstu einkunn í SSL tengingaröryggisprófinu heldur einnig aukið öryggi alls Zimbra OSE innviða verulega.
Fyrir allar spurningar sem tengjast Zextras Suite geturðu haft samband við fulltrúa Zextras Ekaterina Triandafilidi með tölvupósti [netvarið]
Heimild: www.habr.com