Kekuatan penyulitan adalah salah satu petunjuk yang paling penting apabila menggunakan sistem maklumat untuk perniagaan, kerana setiap hari mereka terlibat dalam pemindahan sejumlah besar maklumat sulit. Cara yang diterima umum untuk menilai kualiti sambungan SSL ialah ujian bebas daripada Qualys SSL Labs. Memandangkan ujian ini boleh dijalankan oleh sesiapa sahaja, amat penting bagi penyedia SaaS untuk mendapatkan skor tertinggi yang mungkin pada ujian ini. Bukan sahaja penyedia SaaS, tetapi juga perusahaan biasa mengambil berat tentang kualiti sambungan SSL. Bagi mereka, ujian ini adalah peluang terbaik untuk mengenal pasti potensi kelemahan dan menutup semua kelemahan untuk penjenayah siber terlebih dahulu.
Zimbra OSE membenarkan dua jenis sijil SSL. Yang pertama ialah sijil yang ditandatangani sendiri yang ditambah secara automatik semasa pemasangan. Sijil ini adalah percuma dan tidak mempunyai had masa, menjadikannya sesuai untuk menguji Zimbra OSE atau menggunakannya secara eksklusif dalam rangkaian dalaman. Walau bagaimanapun, apabila log masuk ke klien web, pengguna akan melihat amaran daripada penyemak imbas bahawa sijil ini tidak dipercayai, dan pelayan anda pasti akan gagal dalam ujian daripada Qualys SSL Labs.
Yang kedua ialah sijil SSL komersial yang ditandatangani oleh pihak berkuasa pensijilan. Sijil sedemikian mudah diterima oleh pelayar dan biasanya digunakan untuk kegunaan komersil Zimbra OSE. Sejurus selepas pemasangan sijil komersial yang betul, Zimbra OSE 8.8.15 menunjukkan skor A dalam ujian daripada Qualys SSL Labs. Ini adalah keputusan yang sangat baik, tetapi matlamat kami adalah untuk mencapai keputusan A+.
Untuk mencapai skor maksimum dalam ujian daripada Qualys SSL Labs apabila menggunakan Zimbra Collaboration Suite Open-Source Edition, anda mesti melengkapkan beberapa langkah:
1. Meningkatkan parameter protokol Diffie-Hellman
Secara lalai, semua komponen Zimbra OSE 8.8.15 yang menggunakan OpenSSL mempunyai tetapan protokol Diffie-Hellman yang ditetapkan kepada 2048 bit. Pada dasarnya, ini lebih daripada cukup untuk mendapatkan skor A+ dalam ujian daripada Qualys SSL Labs. Walau bagaimanapun, jika anda menaik taraf daripada versi lama, tetapan mungkin lebih rendah. Oleh itu, adalah disyorkan bahawa selepas kemas kini selesai, jalankan perintah zmdhparam set -new 2048, yang akan meningkatkan parameter protokol Diffie-Hellman kepada bit 2048 yang boleh diterima, dan jika dikehendaki, menggunakan arahan yang sama, anda boleh meningkatkan nilai parameter kepada 3072 atau 4096 bit, yang pada satu tangan akan membawa kepada peningkatan masa penjanaan, tetapi sebaliknya akan memberi kesan positif pada tahap keselamatan pelayan mel.
2. Termasuk senarai sifir yang disyorkan yang digunakan
Secara lalai, Zimbra Collaborataion Suite Open-Source Edition menyokong pelbagai jenis sifir yang kuat dan lemah, yang menyulitkan data yang melalui sambungan selamat. Walau bagaimanapun, penggunaan sifir yang lemah adalah kelemahan yang serius apabila menyemak keselamatan sambungan SSL. Untuk mengelakkan ini, anda perlu mengkonfigurasi senarai sifir yang digunakan.
Untuk melakukan ini, gunakan arahan zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Perintah ini serta-merta termasuk satu set sifir yang disyorkan dan terima kasih kepadanya, perintah itu boleh serta-merta memasukkan sifir yang boleh dipercayai dalam senarai dan mengecualikan yang tidak boleh dipercayai. Sekarang yang tinggal hanyalah untuk memulakan semula nod proksi terbalik menggunakan perintah zmproxyctl restart. Selepas but semula, perubahan yang dibuat akan berkuat kuasa.
Jika senarai ini tidak sesuai dengan anda atas satu sebab atau yang lain, anda boleh mengalih keluar beberapa sifir lemah daripadanya menggunakan arahan zmprov mcf +zimbraSSLExcludeCipherSuites. Jadi, sebagai contoh, arahan zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, yang akan menghapuskan sepenuhnya penggunaan sifir RC4. Perkara yang sama boleh dilakukan dengan sifir AES dan 3DES.
3. Dayakan HSTS
Mekanisme yang didayakan untuk memaksa penyulitan sambungan dan pemulihan sesi TLS juga diperlukan untuk mencapai skor sempurna dalam ujian Qualys SSL Labs. Untuk membolehkannya, anda mesti memasukkan arahan zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Perintah ini akan menambah pengepala yang diperlukan pada konfigurasi, dan untuk tetapan baharu berkuat kuasa, anda perlu memulakan semula Zimbra OSE menggunakan arahan zmcontrol mulakan semula.
Sudah pada peringkat ini, ujian daripada Qualys SSL Labs akan menunjukkan penilaian A+, tetapi jika anda ingin meningkatkan lagi keselamatan pelayan anda, terdapat beberapa langkah lain yang boleh anda ambil.
Sebagai contoh, anda boleh mendayakan penyulitan paksa sambungan antara proses, dan anda juga boleh mendayakan penyulitan paksa apabila menyambung ke perkhidmatan Zimbra OSE. Untuk menyemak sambungan antara proses, masukkan arahan berikut:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueUntuk mendayakan penyulitan paksa anda perlu memasukkan:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETerima kasih kepada arahan ini, semua sambungan ke pelayan proksi dan pelayan mel akan disulitkan, dan semua sambungan ini akan diproksi.
Oleh itu, mengikut cadangan kami, anda bukan sahaja boleh mencapai skor tertinggi dalam ujian keselamatan sambungan SSL, tetapi juga meningkatkan keselamatan keseluruhan infrastruktur OSE Zimbra dengan ketara.
Untuk semua soalan berkaitan Zextras Suite, anda boleh menghubungi Wakil Zextras Ekaterina Triandafilidi melalui e-mel [e-mel dilindungi]
Sumber: www.habr.com