ααΆαααααΆααααααΆαα’αα·αααααΈαααΊααΆααΌα ααΆααααααααΆαααααα»ααα½ααα αααααααΎααααΆααααααααααααααααΆααααααΆααα’αΆααΈααααα ααΈαααααααΆαααααΆαααααααα½αααααΆαααααααααΉαααΆααααααααααααΆααααααΆααααα αααΎααααααΉααααααΆααα αααααααΆααααααα½αααααΆααΌαα αααα»αααΆαααΆαααααααα»αααΆαααααΆααααααΆαα SSL ααΊααΆααΆαααααΎαααααα―αααΆαααααΈ Qualys SSL Labs α αααααΆαααΆαααααΎααααααααα’αΆα ααααΎαααΆααααααααΆααααΆαα ααΆααΆαααΆααααααΆααααΆαα·ααααααααΆααα’ααααααααααααΆ SaaS ααΎααααΈααα½αααΆααα·αααα»ααααααααα»ααααα’αΆα ααααΎαα ααΆααα ααΎααΆαααααΎααααααααα αα·αααααΉαααα’ααααααααααααΆ SaaS ααα»ααααααα αα ααααΆαααααααΆαααααααα’αααΈαα»αααΆαααααΆααααααΆαα SSL αααααα αααααΆαααα½ααα ααΆαααααΎααααααααααΊααΆα±ααΆαααααα’αα½ααααα»αααΆααααααα’ααααααααΆαααΆαααΆαααααααααααα’αΆα ααΎαααΆα αα·ααα·αα ααααααααα ααααΆααα’αααααααΆααα§αααα·αααααααΆαα’ααΈαααΊαα·αααΆαα»αα
Zimbra OSE α’αα»ααααΆαα±αααα·ααααΆαααααα SSL ααΈαααααααα ααΈαα½αααΊααΆαα·ααααΆαααααααααα
α»αα αααααααΆααααααα½αα―ααααααααΌαααΆααααααααααααααααααααααα·ααα‘α»ααααααα‘αΎαα αα·ααααΆαααααααααααΊα₯ααα·ααααα αα·ααα·αααΆαααααααααααααΆαα αααααααΎα±ααααΆααα’αααααΆααααΆααααα Zimbra OSE α¬ααααΎααΆααΆαααααα»ααα
αααα»ααααααΆαααΆααααα»αα αααααΆαααΆαααΆααααα αα
αααα
αΌααα
αααα»ααααΆαααΈααααααααα ααααα α’αααααααΎααααΆααααΉαααΎαααΆααααααΆαααΈαααααα·ααΈαα»ααααααααΆαα·ααααΆααααααααααα·ααα½αα±αααα»αα
α·ααα α αΎααααΆαααΈαααααααα’αααααΉααααΆααααααα»αααΆαααΆαααααααΈ Qualys SSL Labs α
ααΈααΈαααΊααΆαα·ααααΆαααααα SSL ααΆαα·ααααααααααα α»αα αααααααΆαααα’αΆααααΆαααααααΆααα αα·ααααΆααααααααααααααααΌαααΆαααα½ααααααΆαααΆααααα½αααααααααα·ααΈαα»ααα α αΎαααΆααααααΆααααΌαααΆαααααΎαααααΆααααΆαααααΎααααΆααααΆαα·ααααααααα Zimbra OSE α ααααΆαααααααΆααααΈααΆαααα‘αΎαααααΉαααααΌααααα·ααααΆααααααααΆαα·ααααααα Zimbra OSE 8.8.15 αααα αΆααα·αααα» A αααα»αααΆαααααΎαααααααΈ Qualys SSL Labs α αααααΊααΆααααααααααα’ ααα»ααααααααα ααααααΎαααΊαααααα ααΆααααααα A+α
ααΎααααΈαααααα
ααΆααα·αααα»α’αα·ααααΆαααα»αααΆαααααΎαααααααΈ Qualys SSL Labs αα
αααααααΎ Zimbra Collaboration Suite Open-Source Edition α’αααααααΌααααααααααα αΆααα½αα
ααα½αα
1. ααΆααααααΎααααΆαααΆαααααααααα·ααΈααΆα Diffie-Hellman
ααΆαααααΆαααΎα αααΆαααΆαα» Zimbra OSE 8.8.15 ααΆααα’αααααααααΎ OpenSSL ααΆαααΆαααααααα·ααΈααΆα Diffie-Hellman ααααααα ααΆ 2048 αααΈαα ααΆαααααΆααα αααααΊα αααΎαααΆααααααααααΆααααΎααααΈααα½αααΆααα·αααα» A+ αααα»αααΆαααααΎαααααααΈ Qualys SSL Labs α ααααααΆαααΆααααα ααααα·αααΎα’ααααααα»αααα‘αΎαααααααΈααααα αΆαα ααΆααααααα’αΆα ααΉαααΆαααΆαα ααΌα ααααααΆααααΌαααΆαααααΆαααΆαααααΆααααΈααΆαα’αΆαααααααααΌαααΆααααα αα ααΌαααααΎαααΆαααΆααααααααΆ zmdhparam set -new 2048 αααααΉααααααΎααααΆαααΆαααααααααα·ααΈααΆα Diffie-Hellman αα 2048 αααΈααααα’αΆα ααα½αααααΆα α αΎαααααα·αααΎα ααααΆα αααααααΎααΆααααααααΆααΌα ααααΆ α’αααα’αΆα αααααΎα ααααααααααΆαααΆαααααααα 3072 α¬ 4096 αααΈα ααααα ααΎααααααΆαααΉαααΆαα±ααααΆαααΆαααΎαα‘αΎααααααααααΆαααααΎα ααα»αααααααααΆααα·ααααααΉαααΆαα₯αααα·αααα·αααααΆααα ααΎααααα·ααα»ααααα·ααΆααααααΆαααΈααααααα»αααα
2. αα½αβαααα αΌαβααΆααβαααααΈβαααβααΆαβαααααβα’αα»ααΆαααβαα ciphers ααΆαβααααΎβ
ααΆαααααΆαααΎα Zimbra Collaborataion Suite Open-Source Edition ααΆαααααα½αααααααΌααΆαααααΌααααααΆααααααΆαα αα·αααααα αααα’αα·αααααΈααα·ααααααααααααΆααααΆααααααΆαααααααΆααα»ααααα·ααΆαα αααααΆαααΆαααΆααααα ααΆαααααΎααααΆαααααααΌααααααααΊααΆαα»ααα·ααααα·ααααααααααααα ααααα·αα·αααααΎααα»ααααα·ααΆαααααΆααααααΆαα SSL α ααΎααααΈαααααΆααααα αΆααα α’αααααααΌαααααααα ααΆαααααααααααααΈααααααααΆαααααααΆαααααΎα
ααΎααααΈααααΎααΌα
αααααΌαααααΎααΆααααααααΆ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
ααΆααααααααΆααααα½ααααα αΌαααΌααααα»αααααααααααΆαααααααΆαααααΆαααααΆαα α αΎαα’ααα»αα ααααααΆ ααΆααααααααΆα’αΆα αα½ααααα αΌαα’αααααααααΆαααααα’αΆα αα»αα α·αααααΆαααααΆαααα αααα»ααααααΈ α αΎααα·αααΆαααααα αΌαααααααααΆααααααα·ααα½αα±αααα»αα α·αααα α₯α‘αΌααααα’αααΈααααα αααααΊααααΌαα αΆααααααΎαααααΆααααααΌααααΈαααα αααΆαα‘αΎααα·ααααααααΎααΆααααααααΆ zmproxyctl restart α αααααΆααααΈααΆαα αΆααααααΎαα‘αΎααα·α ααΆαααααΆααααααΌααααααΆαααααΎα‘αΎαααΉαααΆαααααα·αααααΆαα
ααααα·αααΎαααααΈααααα·αααααΉαα’ααααααα ααα»αααα½α α¬α ααα»αααααααααα α’αααα’αΆα
ααααααααααΆααααααααα½αα
ααα½αα
ααααΈααΆαααααααΎααΆααααααααΆ zmprov mcf +zimbraSSLExcludeCipherSuites
. ααΌα
ααααα§ααΆα αααααΆααααααααΆ zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
αααααΉααα»αααααΆααααΆαααααα»αααΌαααΆαααααΎααααΆαα RC4 ciphers α ααΌα
ααααΆααααααα’αΆα
ααααΌαααΆαααααΎααΆαα½α AES αα·α 3DES ciphers α
3. ααΎα HSTS
ααααααΆααααααΆαααΎαααΎααααΈαααααααΆαα’αα·αααααΈαααΆααααααΆαα αα·αααΆαααααΆααααα TLS ααααααΌαααΆαααΆαααΆαααααα ααΎααααΈαααααα
ααΆααα·αααα»ααααα’α₯αααα
αααα
αααα»αααΆαααααΎααααα Qualys SSL Labs α ααΎααααΈααΎααα½αααΆα’αααααααΌααααααα
αΌαααΆααααααααΆ zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. ααΆααααααααΆαααααΉαααααααααααααΆα
αΆαααΆα
ααα
ααΉαααΆαααααααα
ααΆαααααααα α αΎαααΎααααΈα±ααααΆααααααααααΈααΆαααααα·αααααΆα α’αααααΉαααααΌαα
αΆααααααΎα Zimbra OSE α‘αΎααα·ααααααααΎααΆααααααααΆ zmcontrol α
αΆααααααΎαα‘αΎααα·α.
αα½α α αΎααα ααααΆααααΆαααα ααΆαααααΎαααααααΈ Qualys SSL Labs ααΉααααα αΆαααΆαααΆαααααα A+ ααα»ααααααααα·αααΎα’αααα ααααααΎα±αααααααΎαα‘αΎααααααααααααΌααα»ααααα·ααΆααααααΆαααΈαααααααα’ααα ααΆααα·ααΆαααΆααα½αα ααα½ααααααααααααα’αααα’αΆα α’αα»ααααααΆαα
α§ααΆα ααα α’αααα’αΆα
ααΎαααΆαα’αα·αααααΈαααααααααααααΆααααααΆααα’ααααααααΎαααΆα α αΎαα’αααααα’αΆα
ααΎαααΆαα’αα·αααααΈααααααααααα
αααααααΆαααα
ααααΆαααα Zimbra OSE α ααΎααααΈαα·αα·αααααΎαααΆααααααΆααα’ααααααααΎαααΆα ααΌααααα
αΌαααΆααααααααΆααΆααααααα
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
ααΎααααΈααΎαααΆαα’αα·αααααΈααααααααα ααΌααααα αΌαα
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
ααΌαα’ααα»αα ααααααΆααααααααΆααΆααααα ααΆααααααΆααααΆααα’αααα ααΆαααααΆαααΈαααααααΌααααΈ αα·ααααΆαααΈααααααα»αααααΉαααααΌαααΆαα’αα·αααααΈα α αΎαααΆααααααΆααααΆααα’αααααααΉαααααΌαααΆαααααΌααααΈα
ααΌα
αααα ααΆαααααΎααΆαααΆαααααΆαααααααΎα α’ααααα·αααααΉαααα’αΆα
αααααα
ααΆααα·αααα»ααααααααα»ααααα»αααΆαααααΎααααααα»ααααα·ααΆαααΆααααααΆαα SSL ααα»ααααααα ααα»αααααααααΆαααααααΎααα»ααααα·ααΆααααΆαααααΆααααα αααααΆαα
ααΆαααααααα Zimbra OSE ααΆααααΌααααααα
αααααΆαααααα½αααΆααα’αααααααΆααααααΉα Zextras Suite α’αααα’αΆα
ααΆααααα’αααααααΆα Zextras Ekaterina Triandafilidi ααΆααααα’ααΈααα [α’ααΈαααααΆαααΆα]
ααααα: www.habr.com