Hêza şîfrekirinê yek ji wan nîşanên herî girîng e dema ku pergalên agahdariyê ji bo karsaziyê bikar tînin, ji ber ku her roj ew di veguheztina hejmareke mezin a agahdariya nepenî de beşdar dibin. Wateyek bi gelemperî pejirandî ya nirxandina qalîteya pêwendiyek SSL ceribandinek serbixwe ya ji Qualys SSL Labs e. Ji ber ku ev test dikare ji hêla her kesî ve were rêve kirin, bi taybetî ji bo pêşkêşkerên SaaS girîng e ku li ser vê ceribandinê dereceya herî gengaz bistînin. Ne tenê pêşkêşkerên SaaS, lê di heman demê de pargîdaniyên asayî jî bala xwe didin qalîteya girêdana SSL. Ji bo wan, ev ceribandin fersendek hêja ye ku meriv qelsiyên potansiyel nas bike û pêşî li ber sûcdarên sîberê bigire.
Zimbra OSE destûrê dide du celeb sertîfîkayên SSL. Ya yekem sertîfîkaya xwe-îmzakirî ye ku di dema sazkirinê de bixweber tê zêdekirin. Ev sertîfîka belaş e û ti tixûbek dem tune, ew ji bo ceribandina Zimbra OSE an karanîna wê bi taybetî di nav tora hundurîn de îdeal dike. Lêbelê, dema ku têkevin xerîdarê malperê, bikarhêner dê hişyariyek ji gerokê bibînin ku ev sertîfîka nebawer e, û servera we dê bê guman ceribandina ji Qualys SSL Labs têk biçe.
Ya duyemîn sertîfîkayek SSL ya bazirganî ye ku ji hêla rayedarek pejirandinê ve hatî îmze kirin. Sertîfîkayên weha bi hêsanî ji hêla gerokan ve têne pejirandin û bi gelemperî ji bo karanîna bazirganî ya Zimbra OSE têne bikar anîn. Di cih de piştî sazkirina rast a sertîfîkaya bazirganî, Zimbra OSE 8.8.15 di testa ji Qualys SSL Labs de xalek A nîşan dide. Ev encamek hêja ye, lê armanca me bidestxistina encamek A+ ye.
Ji bo ku hûn di testa Qualys SSL Labs de dema ku Zimbra Collaboration Suite Edition Vekirî bikar bînin, di testê de herî zêde puan bi dest bixin, divê hûn çend gavan biqedînin:
1. Zêdekirina pîvanên protokola Diffie-Hellman
Bi xwerû, hemî pêkhateyên Zimbra OSE 8.8.15 ku OpenSSL bikar tînin xwedan mîhengên protokola Diffie-Hellman li 2048 bit hatine danîn. Di prensîbê de, ev ji têra xwe zêdetir e ku hûn di ceribandinê de ji Qualys SSL Labs jimareyek A+ bistînin. Lêbelê, heke hûn ji guhertoyên kevntir nûve dikin, dibe ku mîheng kêmtir bin. Ji ber vê yekê, tê pêşniyar kirin ku piştî ku nûvekirin qediya, emrê zmdhparam set -new 2048-ê bixebitînin, ku dê pîvanên protokola Diffie-Hellman bi 2048 bit-ên pejirandî zêde bike, û heke bixwaze, bi karanîna heman fermanê, hûn dikarin zêde bikin. nirxa pîvanan digihîje 3072 an 4096 bit, ku ji aliyekî ve dê bibe sedema zêdebûna dema nifşê, lê ji hêla din ve dê bandorek erênî li ser asta ewlehiya servera nameyê bike.
2. Di nav de navnîşek pêşniyarkirî ya şîfreyên bikar anîn
Ji hêla xwerû, Zimbra Collaborataion Suite Open-Source Edition gelek şîfreyên bihêz û qels piştgirî dike, ku daneyên ku di ser pêwendiyek ewledar re derbas dibin şîfre dikin. Lêbelê, karanîna şîfreyên qels dema ku ewlehiya girêdanek SSL-ê kontrol dikin dezavantajek cidî ye. Ji bo ku hûn ji vê yekê dûr nekevin, hûn hewce ne ku navnîşa şîfreyên ku hatine bikar anîn mîheng bikin.
Ji bo vê yekê, emrê bikar bînin zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Vê fermanê tavilê komek şîfreyên pêşniyarkirî vedihewîne û bi saya wê, ferman dikare tavilê şîfreyên pêbawer têxe navnîşê û yên nebawer derxe. Naha ya ku dimîne ev e ku hûn bi karanîna fermana ji nû ve destpêkirina zmproxyctl girêkên proxy berevajî ji nû ve bidin destpêkirin. Piştî rebootkirinê, guhertinên hatine çêkirin dê bandor bibin.
Ger ev navnîş ji ber sedemek an yekê din li gorî we nebe, hûn dikarin bi karanîna fermanê hejmarek şîfreyên qels jê derxin. zmprov mcf +zimbraSSLExcludeCipherSuites. Ji ber vê yekê, wek nimûne, ferman zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ku dê karanîna şîfreyên RC4 bi tevahî ji holê rabike. Heman tişt dikare bi şîfreyên AES û 3DES jî were kirin.
3. HSTS çalak bike
Mekanîzmayên çalakkirî yên ku bi zorê şîfrekirina girêdanê û vegerandina danişîna TLS-ê jî hewce ne ku di ceribandina Qualys SSL Labs de encamek bêkêmasî bi dest bixin. Ji bo çalakkirina wan divê hûn fermanê têkevin zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ev ferman dê sernavê pêwîst li veavakirinê zêde bike, û ji bo ku mîhengên nû bikevin bandorê hûn neçar in ku Zimbra OSE bi karanîna fermanê ji nû ve bidin destpêkirin. zmcontrol ji nû ve dest pê bike.
Jixwe di vê qonaxê de, ceribandina ji Qualys SSL Labs dê rêjeyek A+ nîşan bide, lê heke hûn dixwazin ewlehiya servera xwe bêtir çêtir bikin, hejmarek tedbîrên din hene ku hûn dikarin bavêjin.
Mînakî, hûn dikarin şîfrekirina bi zorê ya girêdanên nav-pêvajoyê çalak bikin, û hûn dikarin şîfrekirina bi zorê jî dema ku bi karûbarên Zimbra OSE ve girêdidin çalak bikin. Ji bo kontrolkirina girêdanên pêvajoyê, emrên jêrîn têkevin:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueJi bo çalakkirina şîfrekirina bi zorê divê hûn têkevin:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEBi saya van fermanan, dê hemî girêdanên bi pêşkêşkerên proxy û pêşkêşkerên postê re werin şîfre kirin, û hemî van girêdan dê bêne proxy kirin.
Ji ber vê yekê, li pey pêşniyarên me, hûn ne tenê dikarin di testa ewlehiya girêdana SSL de pileya herî bilind bi dest bixin, lê di heman demê de ewlehiya tevahiya binesaziya Zimbra OSE jî bi girîngî zêde bikin.
Ji bo hemî pirsên têkildarî Zextras Suite, hûn dikarin bi e-nameyê bi Nûnera Zextras Ekaterina Triandafilidi re têkilî daynin. [email parastî]
Source: www.habr.com