Kekuwatan enkripsi minangka salah sawijining indikator sing paling penting nalika nggunakake sistem informasi kanggo bisnis, amarga saben dina dheweke melu transfer informasi rahasia sing akeh banget. Cara sing ditampa umum kanggo ngetesake kualitas sambungan SSL yaiku tes independen saka Qualys SSL Labs. Amarga tes iki bisa ditindakake dening sapa wae, penting banget kanggo panyedhiya SaaS entuk skor paling dhuwur ing tes iki. Ora mung panyedhiya SaaS, nanging uga perusahaan biasa sing peduli babagan kualitas sambungan SSL. Kanggo wong-wong mau, tes iki minangka kesempatan sing apik kanggo ngenali kerentanan potensial lan nutup kabeh celah kanggo penjahat cyber luwih dhisik.
Zimbra OSE ngidini rong jinis sertifikat SSL. Sing pertama yaiku sertifikat sing ditandatangani dhewe sing ditambahake kanthi otomatis sajrone instalasi. Sertifikat iki gratis lan ora ana watesan wektu, saéngga cocog kanggo nguji Zimbra OSE utawa nggunakake sacara eksklusif ing jaringan internal. Nanging, nalika mlebu menyang klien web, pangguna bakal weruh bebaya saka browser yen sertifikat iki ora dipercaya, lan server sampeyan mesthi bakal gagal tes saka Qualys SSL Labs.
Kapindho yaiku sertifikat SSL komersial sing ditandatangani dening otoritas sertifikasi. Sertifikat kasebut gampang ditampa dening browser lan biasane digunakake kanggo panggunaan komersial Zimbra OSE. Sanalika sawise instalasi sing bener saka sertifikat komersial, Zimbra OSE 8.8.15 nuduhake skor A ing test saka Qualys SSL Labs. Iki minangka asil sing apik banget, nanging tujuane yaiku entuk asil A+.
Kanggo entuk skor maksimal ing tes saka Qualys SSL Labs nalika nggunakake Zimbra Collaboration Suite Open-Source Edition, sampeyan kudu ngrampungake sawetara langkah:
1. Nambah paramèter protokol Diffie-Hellman
Kanthi gawan, kabeh komponen Zimbra OSE 8.8.15 sing nggunakake OpenSSL duwe setelan protokol Diffie-Hellman sing disetel dadi 2048 bit. Ing asas, iki luwih saka cukup kanggo entuk skor A + ing test saka Qualys SSL Labs. Nanging, yen sampeyan nganyarke saka versi lawas, setelan bisa uga luwih murah. Mulane, disaranake yen sawise nganyari rampung, jalanake printah zmdhparam set -new 2048, sing bakal nambah parameter protokol Diffie-Hellman menyang bit 2048 sing bisa ditampa, lan yen pengin, nggunakake printah sing padha, sampeyan bisa nambah. Nilai saka paramèter kanggo 3072 utawa 4096 bit, kang ing tangan siji bakal mimpin kanggo nambah wektu generasi, nanging ing tangan liyane bakal duwe efek positif ing tingkat keamanan saka server mail.
2. Kalebu dhaptar cipher sing disaranake sing digunakake
Kanthi gawan, Zimbra Collaborataion Suite Open-Source Edition ndhukung macem-macem cipher sing kuwat lan lemah, sing ndhelik data liwat sambungan sing aman. Nanging, panggunaan cipher sing lemah minangka kerugian serius nalika mriksa keamanan sambungan SSL. Kanggo ngindhari iki, sampeyan kudu ngatur dhaptar cipher sing digunakake.
Kanggo nindakake iki, gunakake printah zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Printah iki langsung nyakup sakumpulan cipher sing disaranake lan matur nuwun, printah kasebut bisa langsung nyakup cipher sing dipercaya ing dhaptar lan ngilangi sing ora bisa dipercaya. Saiki sing isih ana yaiku miwiti maneh simpul proxy mbalikke nggunakake perintah zmproxyctl restart. Sawise urip maneh, owah-owahan sing ditindakake bakal ditrapake.
Yen dhaptar iki ora cocog karo sampeyan kanthi alasan siji utawa liyane, sampeyan bisa mbusak sawetara cipher sing ora kuwat nggunakake printah kasebut. zmprov mcf +zimbraSSLExcludeCipherSuites. Dadi, contone, perintah zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, sing bakal ngilangi panggunaan cipher RC4. Sing padha bisa ditindakake nganggo cipher AES lan 3DES.
3. Aktifake HSTS
Mekanisme sing diaktifake kanggo meksa enkripsi sambungan lan pemulihan sesi TLS uga dibutuhake kanggo entuk skor sing sampurna ing tes Qualys SSL Labs. Kanggo ngaktifake, sampeyan kudu ngetik printah zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Printah iki bakal nambah header sing dibutuhake kanggo konfigurasi, lan supaya setelan anyar bisa ditrapake, sampeyan kudu miwiti maneh Zimbra OSE nggunakake printah kasebut. zmcontrol miwiti maneh.
Wis ing tahap iki, tes saka Qualys SSL Labs bakal nuduhake rating A +, nanging yen sampeyan pengin nambah keamanan server sampeyan, ana sawetara langkah liyane sing bisa ditindakake.
Contone, sampeyan bisa ngaktifake enkripsi dipeksa sambungan antar-proses, lan sampeyan uga bisa ngaktifake enkripsi dipeksa nalika nyambung menyang layanan Zimbra OSE. Kanggo mriksa sambungan interprocess, ketik printah ing ngisor iki:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueKanggo ngaktifake enkripsi paksa sampeyan kudu ngetik:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEThanks kanggo printah kasebut, kabeh sambungan menyang server proxy lan server mail bakal dienkripsi, lan kabeh sambungan kasebut bakal diproksi.
Mangkono, miturut rekomendasi kita, sampeyan ora mung bisa entuk skor paling dhuwur ing tes keamanan sambungan SSL, nanging uga nambah keamanan kabeh infrastruktur OSE Zimbra.
Kanggo kabeh pitakonan sing ana gandhengane karo Zextras Suite, sampeyan bisa ngubungi Perwakilan Zextras Ekaterina Triandafilidi liwat email. [email dilindhungi]
Source: www.habr.com