情報システムでは毎日大量の機密情報の転送が行われるため、暗号化の強度はビジネスで使用する際の最も重要な指標の XNUMX つです。 SSL 接続の品質を評価する一般的に受け入れられている手段は、Qualys SSL Labs からの独立したテストです。 このテストは誰でも実行できるため、SaaS プロバイダーにとって、このテストで可能な限り最高のスコアを取得することが特に重要です。 SaaS プロバイダーだけでなく、一般の企業も SSL 接続の品質を重視しています。 彼らにとって、このテストは潜在的な脆弱性を特定し、サイバー犯罪者のあらゆる抜け穴を事前に塞ぐ絶好の機会です。
Zimbra OSE では XNUMX 種類の SSL 証明書が使用できます。 XNUMX つ目は、インストール中に自動的に追加される自己署名証明書です。 この証明書は無料で期限がないため、Zimbra OSE をテストしたり、内部ネットワーク内でのみ使用したりするのに最適です。 ただし、Web クライアントにログインすると、この証明書は信頼できないという警告がブラウザから表示され、サーバーは Qualys SSL Labs のテストに確実に失敗します。
8.8.15 つ目は、認証局によって署名された商用 SSL 証明書です。 このような証明書はブラウザーで簡単に受け入れられ、通常は Zimbra OSE の商用利用に使用されます。 商用証明書を正しくインストールした直後、Zimbra OSE XNUMX は、Qualys SSL Labs のテストで A スコアを示します。 これは素晴らしい結果ですが、私たちの目標は A+ の結果を達成することです。
Zimbra Collaboration Suite Open-Source Edition の使用時に Qualys SSL Labs のテストで最高スコアを達成するには、次のいくつかの手順を完了する必要があります。
1. Diffie-Hellman プロトコルのパラメータを増やす
デフォルトでは、OpenSSL を使用するすべての Zimbra OSE 8.8.15 コンポーネントの Diffie-Hellman プロトコル設定は 2048 ビットに設定されています。 原則として、Qualys SSL Labs のテストで A+ スコアを取得するには、これで十分です。 ただし、古いバージョンからアップグレードする場合は、設定が低くなる可能性があります。 したがって、更新の完了後、コマンド zmdhparam set -new 2048 を実行することをお勧めします。これにより、Diffie-Hellman プロトコルのパラメーターが許容可能な 2048 ビットに増加します。また、必要に応じて、同じコマンドを使用して、パラメーターを増やすことができます。パラメータの値を 3072 ビットまたは 4096 ビットに変更すると、一方では生成時間の増加につながりますが、他方ではメール サーバーのセキュリティ レベルにプラスの影響を及ぼします。
2. 使用される暗号の推奨リストを含める
デフォルトでは、Zimbra Collaboration Suite Open-Source Edition は、安全な接続を介して受け渡されるデータを暗号化する、強力な暗号と弱い暗号を幅広くサポートしています。 ただし、弱い暗号の使用は、SSL 接続のセキュリティをチェックする際に重大な欠点となります。 これを回避するには、使用する暗号のリストを構成する必要があります。
これを行うには、次のコマンドを使用します zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
このコマンドには、推奨される暗号のセットがすぐに含まれます。そのおかげで、コマンドは信頼できる暗号をリストにすぐに含め、信頼できない暗号を除外することができます。 あとは、zmproxyctl restart コマンドを使用してリバース プロキシ ノードを再起動するだけです。 再起動後、加えた変更が有効になります。
何らかの理由でこのリストが適さない場合は、次のコマンドを使用して、リストからいくつかの弱い暗号を削除できます。 zmprov mcf +zimbraSSLExcludeCipherSuites。 たとえば、次のコマンドは zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHAこれにより、RC4 暗号の使用が完全に排除されます。 AES および 3DES 暗号でも同じことができます。
3.HSTSを有効にする
Qualys SSL Labs テストで完璧なスコアを達成するには、接続暗号化と TLS セッション回復を強制するメカニズムも有効にする必要があります。 それらを有効にするには、次のコマンドを入力する必要があります zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"。 このコマンドは必要なヘッダーを設定に追加します。新しい設定を有効にするには、次のコマンドを使用して Zimbra OSE を再起動する必要があります。 zmcontrolの再起動.
すでにこの段階で、Qualys SSL Labs のテストでは A+ 評価が示されていますが、サーバーのセキュリティをさらに向上させたい場合は、他にもさまざまな手段を講じることができます。
たとえば、プロセス間接続の強制暗号化を有効にしたり、Zimbra OSE サービスに接続するときに強制暗号化を有効にしたりすることもできます。 プロセス間接続を確認するには、次のコマンドを入力します。
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true強制暗号化を有効にするには、次のように入力する必要があります。
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEこれらのコマンドのおかげで、プロキシ サーバーとメール サーバーへのすべての接続が暗号化され、これらすべての接続がプロキシされます。
したがって、推奨事項に従うと、SSL 接続セキュリティ テストで最高のスコアを達成できるだけでなく、Zimbra OSE インフラストラクチャ全体のセキュリティを大幅に向上させることができます。
Zextras Suite に関するすべての質問については、Zextras Ekaterina Triandafilidi の代表者に電子メールでお問い合わせください。 [メール保護]
出所: habr.com