Шифрлаудың күші бизнес үшін ақпараттық жүйелерді пайдалану кезінде маңызды көрсеткіштердің бірі болып табылады, өйткені олар күн сайын үлкен көлемдегі құпия ақпаратты беруге қатысады. SSL қосылымының сапасын бағалаудың жалпы қабылданған құралы Qualys SSL Labs тәуелсіз тесті болып табылады. Бұл сынақты кез келген адам орындай алатындықтан, SaaS провайдерлері үшін осы сынақта мүмкін болатын ең жоғары балл алу өте маңызды. SaaS провайдерлері ғана емес, сонымен қатар қарапайым кәсіпорындар да SSL қосылымының сапасына мән береді. Олар үшін бұл сынақ әлеуетті осалдықтарды анықтауға және киберқылмыскерлерге арналған барлық бос орындарды алдын ала жабуға тамаша мүмкіндік болып табылады.
Zimbra OSE SSL сертификаттарының екі түріне рұқсат береді. Біріншісі - орнату кезінде автоматты түрде қосылатын өздігінен қол қойылған сертификат. Бұл сертификат тегін және уақыт шектеуі жоқ, бұл оны Zimbra OSE тестілеуге немесе оны тек ішкі желіде пайдалануға өте ыңғайлы етеді. Дегенмен, веб-клиентке кірген кезде, пайдаланушылар браузерден бұл сертификат сенімсіз екендігі туралы ескертуді көреді және сіздің серверіңіз Qualys SSL Labs тестінен өтпейді.
Екіншісі - сертификаттау орталығы қол қойған коммерциялық SSL сертификаты. Мұндай сертификаттарды браузерлер оңай қабылдайды және әдетте Zimbra OSE коммерциялық пайдалану үшін пайдаланылады. Коммерциялық сертификатты дұрыс орнатқаннан кейін бірден Zimbra OSE 8.8.15 Qualys SSL Labs тестінде А ұпайын көрсетеді. Бұл тамаша нәтиже, бірақ біздің мақсатымыз A+ нәтижесіне қол жеткізу.
Zimbra Collaboration Suite Open-Source Edition пайдаланған кезде Qualys SSL Labs тестінде максималды ұпайға жету үшін бірнеше қадамдарды орындау керек:
1. Диффи-Хеллман хаттамасының параметрлерін ұлғайту
Әдепкі бойынша, OpenSSL қолданатын барлық Zimbra OSE 8.8.15 құрамдастарында 2048 битке орнатылған Diffie-Hellman протоколының параметрлері бар. Негізінде, бұл Qualys SSL Labs тестінде A+ ұпайын алу үшін жеткілікті. Дегенмен, ескі нұсқалардан жаңартып жатсаңыз, параметрлер төменірек болуы мүмкін. Сондықтан жаңартуды аяқтағаннан кейін Diffie-Hellman протоколының параметрлерін қолайлы 2048 битке дейін арттыратын zmdhparam set -new 2048 пәрменін іске қосу ұсынылады, ал қаласаңыз, сол пәрменді пайдаланып көбейтуге болады. параметрлердің мәні 3072 немесе 4096 битке дейін, бұл бір жағынан генерация уақытының ұлғаюына әкеледі, бірақ екінші жағынан пошта серверінің қауіпсіздік деңгейіне оң әсер етеді.
2. Қолданылатын шифрлардың ұсынылған тізімін қоса
Әдепкі бойынша, Zimbra Collaborataion Suite Open-Source Edition қауіпсіз қосылым арқылы өтетін деректерді шифрлайтын күшті және әлсіз шифрлардың кең ауқымын қолдайды. Дегенмен, әлсіз шифрларды пайдалану SSL қосылымының қауіпсіздігін тексеру кезінде елеулі кемшілік болып табылады. Бұған жол бермеу үшін пайдаланылатын шифрлар тізімін конфигурациялау қажет.
Мұны істеу үшін пәрменді пайдаланыңыз zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Бұл пәрмен бірден ұсынылған шифрлар жинағын қамтиды және оның арқасында команда бірден тізімге сенімді шифрларды енгізіп, сенімсіздерін алып тастай алады. Енді zmproxyctl қайта іске қосу пәрменін пайдаланып кері прокси түйіндерін қайта іске қосу ғана қалады. Қайта жүктеуден кейін енгізілген өзгертулер күшіне енеді.
Егер бұл тізім қандай да бір себептермен сізге сәйкес келмесе, пәрменді пайдаланып одан бірнеше әлсіз шифрларды жоюға болады. zmprov mcf +zimbraSSLExcludeCipherSuites. Мәселен, мысалы, команда zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, бұл RC4 шифрларын пайдалануды толығымен жояды. Дәл солай AES және 3DES шифрларымен де жасауға болады.
3. HSTS қосыңыз
Қосылымды шифрлауды және TLS сеансын қалпына келтіруді мәжбүрлеуге арналған қосылған механизмдер Qualys SSL Labs сынағының тамаша ұпайына жету үшін де қажет. Оларды қосу үшін пәрменді енгізу керек zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Бұл пәрмен конфигурацияға қажетті тақырыпты қосады және жаңа параметрлер күшіне енуі үшін Zimbra OSE пәрменін пайдаланып қайта іске қосу керек. zmcontrol қайта іске қосыңыз.
Қазірдің өзінде осы кезеңде Qualys SSL Labs тесті A+ рейтингін көрсетеді, бірақ серверіңіздің қауіпсіздігін одан әрі жақсартқыңыз келсе, басқа да бірқатар шаралар қабылдауға болады.
Мысалы, процессаралық қосылымдарды мәжбүрлі шифрлауды қосуға болады, сондай-ақ Zimbra OSE қызметтеріне қосылу кезінде мәжбүрлі шифрлауды қосуға болады. Процессаралық қосылымдарды тексеру үшін келесі пәрмендерді енгізіңіз:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueМәжбүрлі шифрлауды қосу үшін мынаны енгізу керек:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEОсы пәрмендердің арқасында прокси серверлер мен пошта серверлеріне барлық қосылымдар шифрланады және осы қосылымдардың барлығы прокси болады.
Осылайша, біздің ұсыныстарымызды орындай отырып, сіз SSL қосылымының қауіпсіздік сынағында ең жоғары ұпайға қол жеткізіп қана қоймай, сонымен қатар Zimbra OSE инфрақұрылымының қауіпсіздігін айтарлықтай арттыра аласыз.
Zextras Suite-ке қатысты барлық сұрақтар бойынша сіз Zextras өкілі Екатерина Триандафилидиге электрондық пошта арқылы хабарласа аласыз. [электрондық пошта қорғалған]
Ақпарат көзі: www.habr.com