D'Kraaft vun der Verschlësselung ass ee vun de wichtegsten Indicateuren wann Dir Informatiounssystemer fir d'Geschäft benotzt, well se all Dag am Transfert vun enger riseger Quantitéit u vertraulecher Informatioun involvéiert sinn. En allgemeng akzeptéiert Mëttel fir d'Qualitéit vun enger SSL Verbindung ze bewäerten ass en onofhängegen Test vu Qualys SSL Labs. Well dësen Test vu jidderee ka lafen, ass et besonnesch wichteg fir SaaS Ubidder déi héchst méiglech Score op dësem Test ze kréien. Net nëmmen SaaS Ubidder, awer och normal Entreprisen këmmeren sech ëm d'Qualitéit vun der SSL Verbindung. Fir si ass dësen Test eng exzellent Geleeënheet fir potenziell Schwachstelle z'identifizéieren an all Schleifen fir Cyberkrimineller am Viraus zouzemaachen.
Zimbra OSE erlaabt zwou Zorte vu SSL Certificaten. Déi éischt ass e selbst ënnerschriwwenen Zertifika deen automatesch während der Installatioun bäigefüügt gëtt. Dëse Zertifika ass gratis an huet keng Zäitlimit, sou datt et ideal ass fir Zimbra OSE ze testen oder se exklusiv an engem internen Netzwierk ze benotzen. Wéi och ëmmer, wann Dir op de Webclient aloggen, gesinn d'Benotzer eng Warnung vum Browser datt dësen Zertifika net vertraut ass, an Äre Server wäert definitiv den Test vu Qualys SSL Labs versoen.
Déi zweet ass e kommerziellen SSL Zertifika ënnerschriwwen vun enger Zertifizéierungsautoritéit. Esou Certificaten sinn liicht duerch Browser akzeptéiert a ginn normalerweis fir kommerziell Notzung vun Zimbra OSE benotzt. Direkt no der korrekter Installatioun vum kommerziellen Zertifika weist Zimbra OSE 8.8.15 en A Score am Test vu Qualys SSL Labs. Dëst ass en exzellent Resultat, awer eist Zil ass en A+ Resultat z'erreechen.
Fir de maximale Score am Test vu Qualys SSL Labs z'erreechen wann Dir Zimbra Collaboration Suite Open-Source Edition benotzt, musst Dir eng Rei Schrëtt ausfëllen:
1. Erhéijung vun de Parameteren vum Diffie-Hellman Protokoll
Par défaut hunn all Zimbra OSE 8.8.15 Komponenten déi OpenSSL benotzen Diffie-Hellman Protokoll Astellungen op 2048 Bits gesat. Am Prinzip ass dëst méi wéi genuch fir en A+ Score am Test vu Qualys SSL Labs ze kréien. Wéi och ëmmer, wann Dir vun eelere Versioune upgraden, kënnen d'Astellunge méi niddereg sinn. Dofir ass et recommandéiert, nodeems d'Aktualiséierung ofgeschloss ass, de Kommando zmdhparam set -new 2048 auszeféieren, wat d'Parameter vum Diffie-Hellman Protokoll op akzeptabel 2048 Bits erhéicht, a wann Dir wëllt, mam selwechte Kommando benotzt, kënnt Dir eropgoen de Wäert vun de Parameteren op 3072 oder 4096 Bits, déi op der enger Säit zu enger Erhéijung vun der Generatiounszäit féieren, awer op der anerer Säit e positiven Effekt op de Sécherheetsniveau vum Mailserver hunn.
2. Dorënner eng recommandéiert Lëscht vun Chiffer benotzt
Par défaut ënnerstëtzt Zimbra Collaborataion Suite Open-Source Edition eng breet Palette vu staarken a schwaache Chifferen, déi Daten verschlësselen, déi iwwer eng sécher Verbindung passéieren. Wéi och ëmmer, d'Benotzung vu schwaache Chiffer ass e seriöse Nodeel wann Dir d'Sécherheet vun enger SSL Verbindung iwwerpréift. Fir dëst ze vermeiden, musst Dir d'Lëscht vun de benotzte Chiffer konfiguréieren.
Fir dëst ze maachen, benotzt de Kommando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Dëse Kommando enthält direkt eng Rei vu empfohlene Chifferen an duerch et kann de Kommando direkt zouverlässeg Chifferen an der Lëscht enthalen an onzouverlässeg ausschléissen. Elo alles wat bleift ass d'Reverse Proxy Node nei ze starten mam zmproxyctl Restart Kommando. No engem Restart ginn d'Ännerungen a Kraaft.
Wann dës Lëscht Iech aus engem oder anere Grond net passt, kënnt Dir eng Zuel vu schwaache Chiffere mat dem Kommando erofhuelen zmprov mcf +zimbraSSLExcludeCipherSuites. Also, zum Beispill, de Kommando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, déi d'Benotzung vun RC4 Chifferen komplett eliminéiert. Datselwecht kann mat AES an 3DES Chifferen gemaach ginn.
3. Aktivéiert HSTS
Aktivéiert Mechanismen fir d'Verbindungsverschlësselung an d'TLS Sessioun Erhuelung ze zwéngen sinn och erfuerderlech fir e perfekte Score am Qualys SSL Labs Test z'erreechen. Fir se z'aktivéieren musst Dir de Kommando aginn zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Dëse Kommando füügt den néidegen Header un d'Konfiguratioun derbäi, a fir déi nei Astellungen a Kraaft ze setzen, musst Dir Zimbra OSE mat dem Kommando nei starten zmcontrol Restart.
Schonn op dëser Etapp weist den Test vu Qualys SSL Labs en A+ Bewäertung, awer wann Dir d'Sécherheet vun Ärem Server weider verbessert wëllt, ginn et eng Rei aner Moossnamen déi Dir maache kënnt.
Zum Beispill kënnt Dir gezwongen Verschlësselung vun Inter-Prozessverbindungen aktivéieren, an Dir kënnt och gezwongen Verschlësselung aktivéieren wann Dir mat Zimbra OSE Servicer verbënnt. Fir Interprozessverbindungen ze kontrolléieren, gitt déi folgend Kommandoen:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueFir gezwongen Verschlësselung z'aktivéieren musst Dir aginn:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDank dëse Befehle ginn all Verbindunge mat Proxy-Server a Mail-Server verschlësselt, an all dës Verbindunge ginn proxyed.
Also, no eise Empfehlungen, kënnt Dir net nëmmen den héchste Score am SSL Verbindung Sécherheetstest erreechen, awer och d'Sécherheet vun der ganzer Zimbra OSE Infrastruktur wesentlech erhéijen.
Fir all Froen am Zesummenhang mat Zextras Suite, kënnt Dir d'Zextras Vertrieder Ekaterina Triandafilidi per E-Mail kontaktéieren [Email geschützt]
Source: will.com