Is-saħħa tal-kriptaġġ hija waħda mill-aktar indikaturi importanti meta tuża sistemi ta 'informazzjoni għan-negozju, minħabba li kuljum huma involuti fit-trasferiment ta' ammont kbir ta 'informazzjoni kunfidenzjali. Mezz ġeneralment aċċettat ta' kif tiġi vvalutata l-kwalità ta' konnessjoni SSL huwa test indipendenti minn Qualys SSL Labs. Peress li dan it-test jista 'jitwettaq minn kulħadd, huwa speċjalment importanti għall-fornituri tas-SaaS li jiksbu l-ogħla punteġġ possibbli f'dan it-test. Mhux biss il-fornituri SaaS, iżda wkoll l-intrapriżi ordinarji jimpurtahom mill-kwalità tal-konnessjoni SSL. Għalihom, dan it-test huwa opportunità eċċellenti biex jiġu identifikati vulnerabbiltajiet potenzjali u jagħlqu l-lakuni kollha għaċ-ċiberkriminali minn qabel.
Zimbra OSE jippermetti żewġ tipi ta 'ċertifikati SSL. L-ewwel huwa ċertifikat iffirmat minnu nnifsu li jiġi miżjud awtomatikament waqt l-installazzjoni. Dan iċ-ċertifikat huwa b'xejn u m'għandux limitu ta 'żmien, li jagħmilha ideali għall-ittestjar ta' Zimbra OSE jew jużah esklussivament f'netwerk intern. Madankollu, meta jidħlu fil-klijent tal-web, l-utenti jaraw twissija mill-browser li dan iċ-ċertifikat mhuwiex fdat, u s-server tiegħek definittivament se jfalli mit-test minn Qualys SSL Labs.
It-tieni huwa ċertifikat SSL kummerċjali ffirmat minn awtorità ta 'ċertifikazzjoni. Ċertifikati bħal dawn huma faċilment aċċettati mill-browsers u ġeneralment jintużaw għall-użu kummerċjali ta 'Zimbra OSE. Immedjatament wara l-installazzjoni korretta taċ-ċertifikat kummerċjali, Zimbra OSE 8.8.15 juri punteġġ A fit-test minn Qualys SSL Labs. Dan huwa riżultat eċċellenti, iżda l-għan tagħna huwa li niksbu riżultat A+.
Sabiex tikseb il-punteġġ massimu fit-test minn Qualys SSL Labs meta tuża Zimbra Collaboration Suite Open-Source Edition, trid timla numru ta' passi:
1. Żieda fil-parametri tal-protokoll Diffie-Hellman
B'mod awtomatiku, il-komponenti kollha ta 'Zimbra OSE 8.8.15 li jużaw OpenSSL għandhom settings tal-protokoll Diffie-Hellman stabbiliti għal 2048 bit. Fil-prinċipju, dan huwa aktar minn biżżejjed biex tikseb punteġġ A+ fit-test minn Qualys SSL Labs. Madankollu, jekk qed taġġorna minn verżjonijiet eqdem, is-settings jistgħu jkunu aktar baxxi. Għalhekk, huwa rakkomandat li wara li jitlesta l-aġġornament, mexxi l-kmand zmdhparam set -new 2048, li se jżid il-parametri tal-protokoll Diffie-Hellman għal 2048 bits aċċettabbli, u jekk mixtieq, billi tuża l-istess kmand, tista 'żżid il-valur tal-parametri għal 3072 jew 4096 bits, li min-naħa waħda se jwassal għal żieda fil-ħin tal-ġenerazzjoni, iżda min-naħa l-oħra se jkollu effett pożittiv fuq il-livell tas-sigurtà tas-server tal-posta.
2. Inkluża lista rakkomandata ta' ċifraturi użati
B'mod awtomatiku, Zimbra Collaborataion Suite Open-Source Edition tappoġġja firxa wiesgħa ta 'ċifraturi b'saħħithom u dgħajfa, li jikkriptaw id-dejta li tgħaddi minn konnessjoni sigura. Madankollu, l-użu ta 'ċifraturi dgħajfa huwa żvantaġġ serju meta tiċċekkja s-sigurtà ta' konnessjoni SSL. Sabiex tevita dan, għandek bżonn tikkonfigura l-lista ta 'ċifraturi użati.
Biex tagħmel dan, uża l-kmand zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Dan il-kmand immedjatament jinkludi sett ta 'ċifraturi rakkomandati u grazzi għaliha, il-kmand jista' immedjatament jinkludi ċifraturi affidabbli fil-lista u jeskludi dawk mhux affidabbli. Issa dak kollu li jibqa 'huwa li terġa' tibda n-nodi tal-prokura inversa billi tuża l-kmand mill-ġdid zmproxyctl. Wara reboot, il-bidliet li saru jidħlu fis-seħħ.
Jekk din il-lista ma taqbilx għalik għal xi raġuni jew oħra, tista 'tneħħi għadd ta' ċifraturi dgħajfa minnha billi tuża l-kmand zmprov mcf +zimbraSSLExcludeCipherSuites. Allura, per eżempju, il-kmand zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, li se jelimina kompletament l-użu taċ-ċifraturi RC4. L-istess jista 'jsir b'ċifraturi AES u 3DES.
3. Ippermetti l-HSTS
Mekkaniżmi attivati biex jisforzaw il-kriptaġġ tal-konnessjoni u l-irkupru tas-sessjoni TLS huma meħtieġa wkoll biex jinkiseb l-ogħla punteġġ fit-test Qualys SSL Labs. Biex tippermettilhom, trid tidħol fil-kmand zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Dan il-kmand se jżid l-header meħtieġ mal-konfigurazzjoni, u biex is-settings il-ġodda jidħlu fis-seħħ ikollok terġa 'tibda Zimbra OSE billi tuża l-kmand. zmcontrol restart.
Diġà f'dan l-istadju, it-test minn Qualys SSL Labs se juri klassifikazzjoni A+, iżda jekk trid tkompli ttejjeb is-sigurtà tas-server tiegħek, hemm numru ta 'miżuri oħra li tista' tieħu.
Pereżempju, tista 'tippermetti encryption sfurzata ta' konnessjonijiet bejn il-proċessi, u tista 'wkoll tippermetti encryption sfurzata meta tikkonnettja mas-servizzi Zimbra OSE. Biex tiċċekkja l-konnessjonijiet bejn il-proċessi, daħħal il-kmandi li ġejjin:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueBiex tippermetti l-kriptaġġ sfurzat trid tidħol:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGrazzi għal dawn il-kmandi, il-konnessjonijiet kollha għal proxy servers u servers tal-posta se jkunu encrypted, u dawn il-konnessjonijiet kollha se jkunu proxyed.
Għalhekk, wara r-rakkomandazzjonijiet tagħna, tista 'mhux biss tikseb l-ogħla punteġġ fit-test tas-sigurtà tal-konnessjoni SSL, iżda wkoll iżżid b'mod sinifikanti s-sigurtà tal-infrastruttura Zimbra OSE kollha.
Għall-mistoqsijiet kollha relatati ma' Zextras Suite, tista' tikkuntattja lir-Rappreżentant ta' Zextras Ekaterina Triandafilidi bl-email [protett bl-email]
Sors: www.habr.com