Ko te kaha o te whakamunatanga ko tetahi o nga tohu tino nui i te wa e whakamahi ana i nga punaha korero mo te pakihi, no te mea i ia ra ka uru ratou ki te whakawhiti i te nui o nga korero huna. Ko te tikanga e whakaaetia ana mo te aromatawai i te kounga o te hononga SSL he whakamatautau motuhake mai i Qualys SSL Labs. I te mea ka taea e tetahi te whakahaere i tenei whakamatautau, he mea tino nui mo nga kaiwhakarato SaaS kia whiwhi i nga kaute teitei rawa atu mo tenei whakamatautau. Ehara i te mea ko nga kaiwhakarato SaaS anake, engari ko nga umanga noa e whakaaro ana ki te kounga o te hononga SSL. Mo ratou, he waahi pai tenei whakamatautau ki te tautuhi i nga whakaraeraetanga pea me te kati i nga waahi katoa mo te hunga hara ipurangi i mua.
Ka whakaaetia e Zimbra OSE nga momo tiwhikete SSL e rua. Ko te tuatahi he tiwhikete haina-whaiaro ka taapiri aunoa i te wa o te whakaurunga. He kore utu tenei tiwhikete, kaore he wa mutunga, he pai mo te whakamatautau Zimbra OSE me te whakamahi ranei i roto i te whatunga o roto. Heoi, i te wa e takiuru ana ki te kiritaki tukutuku, ka kite nga kaiwhakamahi i te whakatupato mai i te kaitirotiro e kore e whakaponohia tenei tiwhikete, a ka tino hinga to kaimau i te whakamatautau mai i te Qualys SSL Labs.
Ko te tuarua he tiwhikete SSL arumoni i hainatia e te mana tohu. Ko enei tiwhikete ka whakaaetia e nga kaitirotiro me te nuinga o te waa ka whakamahia mo te whakamahi arumoni a Zimbra OSE. I muri tonu i te whakaurunga tika o te tiwhikete hokohoko, ka whakaatu a Zimbra OSE 8.8.15 i te tohu A i roto i te whakamatautau mai i Qualys SSL Labs. He hua pai tenei, engari ko ta matou whainga kia eke ki te hua A+.
Hei whakatutuki i te kaute morahi o te whakamatautau mai i te Qualys SSL Labs i te wa e whakamahi ana i te Zimbra Collaboration Suite Open-Source Edition, me whakaoti e koe etahi waahanga:
1. Te whakanui ake i nga tawhā o te kawa Diffie-Hellman
Ma te taunoa, ko nga waahanga Zimbra OSE 8.8.15 katoa e whakamahi ana i te OpenSSL he tautuhinga kawa Diffie-Hellman kua tautuhia ki te 2048 paraka. Ko te tikanga, he nui ake tenei ki te whiwhi tohu A+ i te whakamatautau mai i te Qualys SSL Labs. Heoi, ki te whakapai ake koe mai i nga putanga tawhito, ka iti ake pea nga tautuhinga. Na reira, ka tūtohuhia kia oti te whakahou, whakahaere i te whakahau zmdhparam set -new 2048, ka whakanui ake i nga tawhā o te kawa Diffie-Hellman ki nga moka 2048 e manakohia ana, a, ki te hiahiatia, ma te whakamahi i te whakahau kotahi, ka taea e koe te whakanui ake. te uara o nga tawhā ki te 3072 ranei 4096 moka, e i runga i tetahi taha ka arahi ki te wa whakatipuranga ake, engari i runga i te tahi atu i te ringa ka whai i te pānga pai i runga i te taumata haumarutanga o te tūmau mēra.
2. Kei roto ko te rarangi tohu mo nga ciphers i whakamahia
Ma te taunoa, kei te tautoko a Zimbra Collaborataion Suite Open-Source Edition i te whānuitanga o nga ciphers kaha me te ngoikore, e whakamuna ana i nga raraunga e whakawhiti ana i tetahi hononga haumaru. Engari, ko te whakamahinga o nga ciphers ngoikore he tino kino ki te tirotiro i te haumarutanga o te hononga SSL. Hei karo i tenei, me whirihora e koe te rarangi o nga ciphers i whakamahia.
Ki te mahi i tenei, whakamahia te whakahau zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Kei roto tonu i tenei whakahau he huinga ciphers e taunaki ana me te mihi ki a ia, ka taea e te whakahau te whakauru tonu i nga ciphers pono ki te rarangi me te whakakore i nga mea kore pono. Ko nga mea katoa e toe ana ko te whakaara ano i nga kopuku takawaenga whakamuri ma te whakamahi i te whakahau whakaara ano zmproxyctl. Whai muri i te whakaara ano, ka whai mana nga huringa.
Mena kaore tenei rarangi e pai ki a koe mo tetahi take, ka taea e koe te tango i te maha o nga ciphers ngoikore mai i taua mea ma te whakamahi i te whakahau zmprov mcf +zimbraSSLExcludeCipherSuites. Na, hei tauira, ko te whakahau zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ka whakakore rawa i te whakamahinga o nga ciphers RC4. Ka taea ano te mahi ki te AES me te 3DES ciphers.
3. Whakahohe HSTS
Ko nga tikanga whakaahei ki te akiaki i te whakamunatanga hononga me te whakaora i te wahanga TLS e hiahiatia ana kia eke ki te piro tino pai i roto i te whakamatautau Qualys SSL Labs. Hei whakahohe i a raatau me uru koe ki te whakahau zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ma tenei whakahau ka taapiri i te pane e tika ana ki te whirihoranga, a kia whai mana nga tautuhinga hou me whakaara ano koe i te Zimbra OSE ma te whakamahi i te whakahau zmcontrol ka tiimata ano.
I tenei wa, ko te whakamatautau mai i te Qualys SSL Labs ka whakaatu he tohu A+, engari ki te hiahia koe ki te whakapai ake i te haumarutanga o to kaimau, he maha atu nga tikanga ka taea e koe.
Hei tauira, ka taea e koe te whakamunatanga kaha o nga hononga-tukatuka, ka taea hoki e koe te whakamunatanga kaha ina hono ana ki nga ratonga Zimbra OSE. Hei taki i nga hononga tukatuki, whakauruhia nga whakahau e whai ake nei:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueKia taea ai te whakamunatanga kaha me whakauru koe:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEHe mihi ki enei whakahau, ka whakamunatia nga hononga katoa ki nga tūmau takawaenga me nga tūmau mēra, ka takawaengahia enei hononga katoa.
Na, i te whai i o maatau korero, kaore e taea e koe anake te whakatutuki i te kaute teitei i roto i te whakamatautau haumaru hononga SSL, engari ka tino whakanui ake te haumarutanga o te katoa o te hanganga Zimbra OSE.
Mo nga paatai katoa e pa ana ki a Zextras Suite, ka taea e koe te whakapā atu ki te Mangai o Zextras Ekaterina Triandafilidi ma te imeera. [email tiakina]
Source: will.com