La forza della crittografia è uno degli indicatori più importanti quando si utilizzano i sistemi informativi per le aziende, perché ogni giorno sono coinvolte nel trasferimento di un'enorme quantità di informazioni riservate. Uno strumento generalmente accettato per valutare la qualità di una connessione SSL è un test indipendente condotto da Qualys SSL Labs. Poiché questo test può essere eseguito da chiunque, è particolarmente importante che i fornitori SaaS ottengano il punteggio più alto possibile in questo test. Non solo i fornitori SaaS, ma anche le normali aziende si preoccupano della qualità della connessione SSL. Per loro questo test rappresenta un’eccellente opportunità per identificare potenziali vulnerabilità e colmare in anticipo tutte le scappatoie per i criminali informatici.
Zimbra OSE consente due tipi di certificati SSL. Il primo è un certificato autofirmato che viene aggiunto automaticamente durante l'installazione. Questo certificato è gratuito e non ha limiti di tempo, il che lo rende ideale per testare Zimbra OSE o utilizzarlo esclusivamente all'interno di una rete interna. Tuttavia, quando accedono al client Web, gli utenti vedranno un avviso dal browser che questo certificato non è attendibile e il tuo server non supererà sicuramente il test di Qualys SSL Labs.
Il secondo è un certificato SSL commerciale firmato da un'autorità di certificazione. Tali certificati sono facilmente accettati dai browser e vengono solitamente utilizzati per l'uso commerciale di Zimbra OSE. Subito dopo la corretta installazione del certificato commerciale, Zimbra OSE 8.8.15 mostra un punteggio A nel test di Qualys SSL Labs. Questo è un ottimo risultato, ma il nostro obiettivo è ottenere un risultato A+.
Per ottenere il punteggio massimo nel test di Qualys SSL Labs quando si utilizza Zimbra Collaboration Suite Open-Source Edition, è necessario completare una serie di passaggi:
1. Aumentare i parametri del protocollo Diffie-Hellman
Per impostazione predefinita, tutti i componenti Zimbra OSE 8.8.15 che utilizzano OpenSSL hanno le impostazioni del protocollo Diffie-Hellman impostate su 2048 bit. In linea di principio, questo è più che sufficiente per ottenere un punteggio A+ nel test di Qualys SSL Labs. Tuttavia, se stai effettuando l'aggiornamento da versioni precedenti, le impostazioni potrebbero essere inferiori. Pertanto, al termine dell'aggiornamento, si consiglia di eseguire il comando zmdhparam set -new 2048, che aumenterà i parametri del protocollo Diffie-Hellman a 2048 bit accettabili e, se lo si desidera, utilizzando lo stesso comando è possibile aumentare il valore dei parametri a 3072 o 4096 bit, che da un lato porterà ad un aumento del tempo di generazione, ma dall'altro avrà un effetto positivo sul livello di sicurezza del server di posta.
2. Compreso un elenco consigliato di cifrari utilizzati
Per impostazione predefinita, Zimbra Collaborataion Suite Open-Source Edition supporta un'ampia gamma di crittografie forti e deboli, che crittografano i dati che passano su una connessione sicura. Tuttavia, l’uso di cifre deboli rappresenta un grave svantaggio quando si verifica la sicurezza di una connessione SSL. Per evitare ciò, è necessario configurare l'elenco delle cifre utilizzate.
Per fare ciò, utilizzare il comando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Questo comando include immediatamente una serie di cifre consigliate e grazie ad essa il comando può includere immediatamente nella lista le cifre affidabili ed escludere quelle inaffidabili. Ora non resta che riavviare i nodi proxy inverso utilizzando il comando zmproxyctl restart. Dopo un riavvio, le modifiche apportate avranno effetto.
Se questo elenco non ti soddisfa per un motivo o per l'altro, puoi rimuovere da esso un numero di codici deboli usando il comando zmprov mcf +zimbraSSLExcludeCipherSuites. Quindi, ad esempio, il comando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, che eliminerà completamente l'uso delle cifre RC4. Lo stesso può essere fatto con le crittografie AES e 3DES.
3. Abilita HSTS
Per ottenere un punteggio perfetto nel test Qualys SSL Labs sono inoltre necessari meccanismi abilitati per forzare la crittografia della connessione e il ripristino della sessione TLS. Per abilitarli è necessario inserire il comando zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Questo comando aggiungerà l'intestazione necessaria alla configurazione e affinché le nuove impostazioni abbiano effetto dovrai riavviare Zimbra OSE utilizzando il comando zmcontrol riavvio.
Già in questa fase il test di Qualys SSL Labs mostrerà una valutazione A+, ma se desideri migliorare ulteriormente la sicurezza del tuo server, puoi adottare una serie di altre misure.
Ad esempio, puoi abilitare la crittografia forzata delle connessioni tra processi e puoi anche abilitare la crittografia forzata quando ti connetti ai servizi Zimbra OSE. Per verificare le connessioni tra processi, immettere i seguenti comandi:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePer abilitare la crittografia forzata è necessario inserire:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGrazie a questi comandi, tutte le connessioni ai server proxy e ai server di posta verranno crittografate e tutte queste connessioni verranno proxy.
Pertanto, seguendo i nostri consigli, non solo potrai ottenere il punteggio più alto nel test di sicurezza della connessione SSL, ma anche aumentare significativamente la sicurezza dell'intera infrastruttura Zimbra OSE.
Per tutte le domande relative a Zextras Suite, è possibile contattare il rappresentante di Zextras Ekaterina Triandafilidi via e-mail [email protected]
Fonte: habr.com