Šifrēšanas stiprums ir viens no svarīgākajiem rādītājiem, izmantojot informācijas sistēmas uzņēmējdarbībai, jo katru dienu tās tiek iesaistītas milzīga apjoma konfidenciālas informācijas nodošanā. Vispārpieņemts SSL savienojuma kvalitātes novērtēšanas līdzeklis ir neatkarīgs Qualys SSL Labs tests. Tā kā šo testu var izpildīt ikviens, SaaS pakalpojumu sniedzējiem ir īpaši svarīgi iegūt augstāko iespējamo punktu skaitu šajā testā. Par SSL savienojuma kvalitāti rūpējas ne tikai SaaS pakalpojumu sniedzēji, bet arī parastie uzņēmumi. Viņiem šis tests ir lieliska iespēja identificēt iespējamās ievainojamības un jau iepriekš novērst visas nepilnības kibernoziedzniekiem.
Zimbra OSE pieļauj divu veidu SSL sertifikātus. Pirmais ir pašparakstīts sertifikāts, kas tiek automātiski pievienots instalēšanas laikā. Šis sertifikāts ir bezmaksas, un tam nav laika ierobežojuma, tāpēc tas ir ideāli piemērots Zimbra OSE testēšanai vai izmantošanai tikai iekšējā tīklā. Tomēr, piesakoties tīmekļa klientā, lietotāji redzēs pārlūkprogrammas brīdinājumu, ka šis sertifikāts nav uzticams, un jūsu serveris noteikti neizdosies Qualys SSL Labs testā.
Otrais ir komerciāls SSL sertifikāts, ko parakstījusi sertifikācijas iestāde. Šādus sertifikātus viegli pieņem pārlūkprogrammas, un tos parasti izmanto Zimbra OSE komerciālai lietošanai. Uzreiz pēc komercsertifikāta pareizas instalēšanas Zimbra OSE 8.8.15 Qualys SSL Labs testā uzrāda A punktu. Tas ir izcils rezultāts, bet mūsu mērķis ir sasniegt A+ rezultātu.
Lai sasniegtu maksimālo punktu skaitu Qualys SSL Labs testā, izmantojot Zimbra Collaboration Suite Open-Source Edition, jums ir jāveic vairākas darbības:
1. Diffie-Hellman protokola parametru palielināšana
Pēc noklusējuma visiem Zimbra OSE 8.8.15 komponentiem, kas izmanto OpenSSL, Diffie-Hellman protokola iestatījumi ir iestatīti uz 2048 bitiem. Principā tas ir vairāk nekā pietiekami, lai Qualys SSL Labs testā iegūtu A+ punktu. Tomēr, ja veicat jaunināšanu no vecākām versijām, iestatījumi var būt zemāki. Tāpēc pēc atjaunināšanas ir ieteicams palaist komandu zmdhparam set -new 2048, kas palielinās Diffie-Hellman protokola parametrus līdz pieņemamiem 2048 bitiem, un, ja vēlaties, izmantojot to pašu komandu, varat palielināt parametru vērtību līdz 3072 vai 4096 bitiem, kas, no vienas puses, palielinās ģenerēšanas laiku, bet, no otras puses, pozitīvi ietekmēs pasta servera drošības līmeni.
2. Iekļaujot ieteicamo izmantoto šifru sarakstu
Pēc noklusējuma Zimbra Collaborataion Suite Open-Source Edition atbalsta plašu spēcīgu un vāju šifru klāstu, kas šifrē datus, kas tiek sūtīti pa drošu savienojumu. Tomēr vāju šifru izmantošana ir nopietns trūkums, pārbaudot SSL savienojuma drošību. Lai no tā izvairītos, jums ir jākonfigurē izmantoto šifru saraksts.
Lai to izdarītu, izmantojiet komandu zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Šī komanda nekavējoties ietver ieteicamo šifru kopu, un, pateicoties tai, komanda var nekavējoties iekļaut sarakstā uzticamus šifrus un izslēgt neuzticamos. Tagad atliek tikai restartēt reversos starpniekservera mezglus, izmantojot komandu zmproxyctl restart. Pēc pārstartēšanas veiktās izmaiņas stāsies spēkā.
Ja šis saraksts viena vai otra iemesla dēļ jums nav piemērots, varat no tā noņemt vairākus vājus šifrus, izmantojot komandu zmprov mcf +zimbraSSLExcludeCipherSuites. Tā, piemēram, komanda zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, kas pilnībā novērsīs RC4 šifru izmantošanu. To pašu var izdarīt ar AES un 3DES šifriem.
3. Iespējojiet HSTS
Lai Qualys SSL Labs testā iegūtu perfektu rezultātu, ir nepieciešami arī iespējoti mehānismi savienojuma šifrēšanai un TLS sesijas atkopšanai. Lai tos iespējotu, jums jāievada komanda zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Šī komanda konfigurācijai pievienos nepieciešamo galveni, un, lai jaunie iestatījumi stātos spēkā, jums būs jārestartē Zimbra OSE, izmantojot komandu zmcontrol restart.
Jau šajā posmā Qualys SSL Labs tests uzrādīs A+ vērtējumu, taču, ja vēlaties vēl vairāk uzlabot sava servera drošību, varat veikt vairākus citus pasākumus.
Piemēram, varat iespējot starpprocesu savienojumu piespiedu šifrēšanu, kā arī varat iespējot piespiedu šifrēšanu, veidojot savienojumu ar Zimbra OSE pakalpojumiem. Lai pārbaudītu starpprocesu savienojumus, ievadiet šādas komandas:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueLai iespējotu piespiedu šifrēšanu, jāievada:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEPateicoties šīm komandām, visi savienojumi ar starpniekserveriem un pasta serveriem tiks šifrēti, un visi šie savienojumi tiks izmantoti starpniekserveri.
Tādējādi, ievērojot mūsu ieteikumus, jūs varat ne tikai sasniegt augstāko punktu skaitu SSL savienojuma drošības testā, bet arī būtiski palielināt visas Zimbra OSE infrastruktūras drošību.
Par visiem jautājumiem, kas saistīti ar Zextras Suite, varat sazināties ar Zextras pārstāvi Jekaterinu Triandafilidi pa e-pastu [e-pasts aizsargāts]
Avots: www.habr.com