áá¯ááºááŸááºááŒááºážá á¡á¬ážáá±á¬ááºážááŸá¯ááẠáá¯ááºáááºážá¡ááœáẠááááºážá¡áá»ááºá¡áááºá áá áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá¬ááœáẠá¡áá±ážááŒá®ážáá¯á¶áž ááœáŸááºááááºážáá»á¬ážáá²á០áá áºáá¯ááŒá áºáááºá SSL áá»áááºáááºááŸá¯á á¡áááºá¡ááœá±ážááᯠá¡áá²ááŒááºááŒááºážá áá±áá°áá»áááºáá¶ááá·áºáááºážáááºážááŸá¬ Qualys SSL Labs á០áá®ážááŒá¬ážá ááºážáááºááŸá¯áá áºáá¯ááŒá áºáááºá á€á á áºáá±ážááŸá¯ááᯠáááºáá°áááᯠáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ááŒá±á¬áá·áº SaaS áááºáá±á¬ááºááŸá¯áá±ážáá°áá»á¬ážá¡ááœáẠá€á ááºážáááºááŸá¯ááœáẠááŒá áºááá¯ááºáá»á±á¡ááŒáá·áºáá¯á¶ážáááŸááºááᯠáááŸáááẠá¡áá°ážá¡áá±ážááŒá®ážáá«áááºá SaaS áááºáá±á¬ááºááŸá¯áá±ážáá°áá»á¬ážáá¬áá áá¬áááºá á®ážááœá¬ážáá±ážáá¯ááºáááºážáá»á¬ážáááºáááºáž SSL áá»áááºáááºááŸá¯á á¡áááºá¡ááœá±ážááᯠá¡áá±ážáá¬ážáá«áááºá áááºážááá¯á·á¡ááœááºá á€á ááºážáááºááŸá¯ááẠááŒá áºááá¯ááºáá»á±ááŸááá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááŸá¬ááœá±áá±á¬áºáá¯ááºáááºááŸáá·áº ááá¯ááºáá¬áá¬ááááºáá±á¬ááºáá»á¬ážá¡ááœáẠááœááºáááºá¡á¬ážáá¯á¶ážááᯠááŒáá¯áááºááááºááẠá¡áá±á¬ááºážáá¯á¶ážá¡ááœáá·áºá¡áá±ážáá áºáá¯ááŒá áºáááºá
Zimbra OSE ááẠSSL á¡ááá¡ááŸááºááŒá¯áááºááŸáẠááŸá
áºáá»áá¯ážááᯠááœáá·áºááŒá¯áááºá áááá¡áá»ááºááŸá¬ ááá·áºááœááºážá
ááºá¡ááœááºáž á¡ááá¯á¡áá»á±á¬ááºááá·áºááœááºážáá¬ážááá·áº ááá¯ááºááá¯ááºáá±ážááá¯ážáá¬ážáá±á¬ áááºááŸááºááŒá
áºáááºá á€á¡ááá¡ááŸááºááŒá¯áááºááŸááºááẠá¡ááá²á·ááŒá
áºááŒá®áž á¡áá»áááºá¡ááá·áºá¡áááºáááŸááá±á¬ááŒá±á¬áá·áº Zimbra OSE ááᯠá
ááºážáááºááẠááá¯á·ááá¯áẠáááºážááᯠá
ááºááœááºážááœááºáááºá¡ááœááºáž áá®ážááá·áºá¡áá¯á¶ážááŒá¯áááºá¡ááœáẠá
á¶ááŒááŒá
áºá
á±áá«áááºá ááá¯á·áá±á¬áºá áááºáááá¯ááºážááá·áºááá¯á· áá±á¬á·ááºá¡ááºáááºáá±á¬á¡áá«á á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠá€áááºááŸááºááᯠá
áááºááá»áááŒá±á¬ááºáž ááá±á¬ááºáá¬á០ááááá±ážáá»ááºááᯠááœá±á·ááááºááŒá
áºááŒá®ážá áááºááá¬áá¬ááẠQualys SSL Labs á០á
ááºážáááºááŸá¯ááᯠáá»áááºážáá±áá±á«áẠáá»ááŸá¯á¶ážáááºááŒá
áºáááºá
áá¯áááá¡áá»ááºááŸá¬ á¡ááá¡ááŸááºááŒá¯áááºááŸááºá¡á¬áá¬ááá¯ááºá០áááºááŸááºáá±ážááá¯ážáá¬ážáá±á¬ á á®ážááœá¬ážáá±ážáá¯ááºáááºáž SSL áááºááŸááºááŒá áºáááºá ááá¯ááá¯á·áá±á¬ áááºááŸááºáá»á¬ážááᯠááá±á¬ááºáá¬áá»á¬ážá á¡ááœááºááá° áááºáá¶ááŒá®áž Zimbra OSE ááᯠá á®ážááœá¬ážáá±ážá¡á á¡áá¯á¶ážááŒá¯áááºá¡ááœáẠáá»á¬ážáá±á¬á¡á¬ážááŒáá·áº á¡áá¯á¶ážááŒá¯ááŒáááºá á á®ážááœá¬ážááŒá áºá¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠááŸááºáááºá áœá¬ááá·áºááœááºážááŒá®ážáá±á¬áẠáá»ááºáá»ááºážááá¯áááá¯á Zimbra OSE 8.8.15 ááẠQualys SSL Labs á០á ááºážáááºááŸá¯ááœáẠA áááŸááºááᯠááŒááááºá áá«áᬠáá±á¬ááºážááœááºáá²á·ááááºáá áºáá¯áá«á áá«áá±ááá·áº áá»áœááºá¯ááºááá¯á·áá²á·áááºážááá¯ááºá A+ ááááºááᯠáááŸáááá¯á·áá«á
Zimbra Collaboration Suite Open-Source Edition ááá¯á¡áá¯á¶ážááŒá¯áá±á¬á¡áá« Qualys SSL Labs á០á
á
áºáá±ážááŸá¯ááœáẠá¡ááŒáá·áºáá¯á¶ážáááŸááºááᯠáááŸáá
á±áááºá¡ááœááºá á¡ááá·áºáá»á¬ážá
áœá¬ááᯠááŒá®ážááŒá±á¬ááºááá«áááºá
1. Diffie-Hellman áááá¯ááá¯áá±á¬á ááá·áºáááºáá»ááºáá»á¬ážááᯠááá¯ážááŒáŸáá·áºááŒááºážá
áá°áááºážá¡á¬ážááŒáá·áºá OpenSSL ááá¯áá¯á¶ážááá·áº Zimbra OSE 8.8.15 á¡á áááºá¡ááá¯ááºážá¡á¬ážáá¯á¶ážááœáẠDiffie-Hellman áááá¯ááá¯áá±á¬áááºáááºáá»á¬ážááᯠ2048 áá áºá¡ááŒá ẠáááºááŸááºáá¬ážáááºá áá°á¡áá áááºážááẠQualys SSL Labs á០á ááºážáááºááŸá¯ááœáẠA+ áááŸááºáááẠáá¯á¶áá±á¬ááºáááºá ááá¯á·áá¬ááœááºá áááºááẠáá¬ážááŸááºážá¡áá±á¬ááºážáá»á¬ážá០á¡ááá·áºááŒáŸáá·áºáááºáá±áá«áá áááºáááºáá»á¬ážááẠáááá·áºááœá¬ážááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áºá á¡ááºááááºááŒá®ážá á®ážááŒá®ážáá±á¬ááºá áááºáá¶ááá¯ááºáá±á¬ 2048 bits ááá¯á· áááºáá¶ááá¯ááºáá±á¬ 2048 bits ááá¯á· Diffie-Hellman protocol á parameters áá»á¬ážááᯠááá¯ážááŒáŸáá·áºáá±ážááá·áº command zmdhparam set -new 3072 ááᯠrun ááẠá¡ááŒá¶ááŒá¯ááá¯ááŒá®áž ááá¹áááŸááá«á áá°áá®áá±á¬ command ááá¯á¡áá¯á¶ážááŒá¯á ááá¯ážááŒáŸáá·áºááá¯ááºáá«áááºá 4096 ááá¯á·ááá¯áẠXNUMX bits á¡áá ááá·áºáááºáá»ááºáá»á¬ážááááºááá¯ážááẠáá áºáááºááœáẠáá»áá¯ážáááºá¡áá»áááºááᯠááá¯ážáá¬á á±áááºááŒá áºáá±á¬áºáááºáž á¡ááŒá¬ážáá áºáááºááœááºáá° áá±ážááºáá¬áá¬á áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºá¡áá±á«áº á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ á¡áá»áá¯ážáááºáá±á¬ááºááŸá¯áá»á¬áž ááŸááá¬áááºááŒá áºáááºá
2. á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ áá»áŸáá¯á·ááŸááºá á¬ááŸááºáá»á¬áž á á¬áááºážáá áºáᯠá¡áá«á¡áááº
áá°áááºážá¡á¬ážááŒáá·áº Zimbra Collaborataion Suite Open-Source Edition ááẠáá¯á¶ááŒá¯á¶áá±á¬áá»áááºáááºááŸá¯ááŸáááá·áº áá±áá¬ááá¯á á¬ááŸááºáá±ážááá·áº á¡á¬ážáá±á¬ááºážááŒá®áž á¡á¬ážáááºážáá±á¬ áá»áŸáá¯á·ááŸááºá á¬ááŸááºáá»á¬ážá áœá¬ááᯠáá¶á·ááá¯ážáá±ážáá«áááºá ááá¯á·áá±á¬áºá á¡á¬ážáááºážáá±á¬á á¬ááŸááºáá»á¬ážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááẠSSL áá»áááºáááºááŸá¯ááá¯á¶ááŒá¯á¶áá±ážááá¯á á áºáá±ážáá±á¬á¡áá«ááœááºááá¯ážááœá¬ážáá±á¬á¡á¬ážáááºážáá»ááºáá áºáá¯ááŒá áºáááºá áááºážááá¯ááŸá±á¬ááºááŸá¬ážáááºá¡ááœááºá áááºá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ ciphers áá»á¬ážá á¬áááºážááᯠconfigure áá¯ááºáááºááá¯á¡ááºáááºá
áá®ááá¯áá¯ááºááá¯á·á command ááá¯áá¯á¶ážáá«á zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
á€á¡áááá·áºáá±á¬áºááœáẠá¡ááŒá¶ááŒá¯áá¬ážáá±á¬ á á¬ááŸááºáá¶áá«ááºáá»á¬áž áá»ááºááŒááºážáá«áááºááŒá®áž áááºážá¡ááœáẠáá»á±ážáá°ážáááºááŸááá«áááºá á¡áááá·áºááẠá á¬áááºážááœáẠáá¯á¶ááŒááºá áááºáá»ááá±á¬ á á¬ááŸááºáá»á¬ážááᯠáá»ááºáá»ááºážááá·áºááœááºážááá¯ááºááŒá®áž áá¯á¶ááŒááºá áááºáá»ááá±á¬á á¬ááŸááºáá»á¬ážááᯠáááºáá¯ááºááá¯ááºáááºá ááᯠáá»ááºááŸááá±áá±ážáááºááŸá¬ zmproxyctl restart command ááᯠá¡áá¯á¶ážááŒá¯á ááŒá±á¬ááºážááŒáẠproxy node áá»á¬ážááᯠááŒááºáááºá áááºáááºááŒá áºáááºá ááŒááºáááºá áááºááŒá®ážáá±á¬ááºá ááŒá¯áá¯ááºáá¬ážáá±á¬ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááẠá¡áááºáááºáááºááŒá áºáááºá
á€á
á¬áááºážááẠá¡ááŒá±á¬ááºážááŒáá»ááºáá
áºáᯠááá¯á·ááá¯áẠá¡ááŒá¬ážáá
áºáá¯ááŒá±á¬áá·áº ááá·áºááŸáá·áºáááá¯ááºáá®áá«áá á¡á¬ážáááºážáá±á¬ ciphers á¡áá»á¬ážá¡ááŒá¬ážááᯠcommand ááŒáá·áºáááºááŸá¬ážááá¯ááºáááºá zmprov mcf +zimbraSSLExcludeCipherSuites
. á¥ááá¬á command áá±á«á·á zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
RC4 ciphers áá»á¬ážá¡áá¯á¶ážááŒá¯ááŒááºážááᯠáá¯á¶ážááááºááŸá¬ážáá
áºáááºááŒá
áºáááºá á¡áá¬ážáá° AES ááŸáá·áº 3DES ciphers áá»á¬ážááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºáááºá
3. HSTS ááá¯ááœáá·áºáá«á
Qualys SSL Labs á
ááºážáááºááŸá¯ááœáẠááŒá®ážááŒáá·áºá
á¯á¶áá±á¬ áááŸááºáá»á¬ážáááŸáááẠáá»áááºáááºááŸá¯ áá¯ááºááŸááºááŒááºážááᯠá¡áááºážá¡ááŒááºááœááºážá¡á¬ážáá±ážááẠááœáá·áºáá¬ážáá±á¬ ááá¹ááá¬ážáá»á¬ážááŸáá·áº TLS á
ááºááŸáẠááŒááºáááºááá°ááŒááºážááá¯áááºáž ááá¯á¡ááºáá«áááºá áááºážááá¯á·ááá¯ááœáá·áºáááºááẠcommand ááá¯ááá¯ááºááá·áºááá«áááºá zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. ဠcommand ááẠconfiguration ááœáẠááá¯á¡ááºáá±á¬ header ááᯠáá±á«ááºážááá·áºáááºááŒá
áºááŒá®ážá áááºáááºá¡áá
áºááœáẠá¡áá»áá¯ážáááºáá±á¬ááºá
á±áááºá¡ááœáẠáááºááẠZimbra OSE áá°áá±á¬ command ááᯠá¡áá¯á¶ážááŒá¯á ááŒááºáááºá
áááºááááºááŒá
áºáá«áááºá zmcontrol ááŒááºáááºá
áááºáá«á.
á€á¡ááá·áºááœááºááŸáááŒá®ážá Qualys SSL Labs ááŸá ááºážáááºááŸá¯ááẠA+ á¡ááá·áºáááºááŸááºáá»ááºááá¯ááŒááááá·áºáááºááŒá áºáá±á¬áºáááºážá áááºáááºáááºááá¬áá¬ááá¯á¶ááŒá¯á¶áá±ážááá¯ááá¯ááá¯ááŒáŸáá·áºáááºááá¯áá«áá áááºáá¯ááºáá±á¬ááºááá¯ááºáá±á¬á¡ááŒá¬ážá¡ááá¯ááºážá¡áá¬áá»á¬ážá áœá¬ááŸááá«áááºá
á¥ááá¬á¡á¬ážááŒáá·áºá áááºááẠáá¯ááºáááºážá
ááºá¡áá»ááºážáá»ááºáž áá»áááºáááºááŸá¯áá»á¬ážááᯠá¡áááºážá¡ááŒáẠáá¯ááºááŸááºááŒááºážááᯠááœáá·áºááá¯ááºááŒá®áž Zimbra OSE áááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áá»áááºáááºááá·áºá¡áá«ááœááºáááºáž á¡áááºážá¡áá»áẠáá¯ááºááŸááºááŒááºážááᯠááœáá·áºááá¯ááºáááºá á¡ááŒááºá¡ááŸááºáá¯ááºáá±á¬ááºááŸá¯áá»áááºáááºááŸá¯áá»á¬ážááᯠá
á
áºáá±ážáááºá á¡á±á¬ááºáá« command áá»á¬ážááᯠááá¯ááºááá·áºáá«-
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
á¡áááºážá¡ááŒáẠáá¯ááºááŸááºááŒááºážááᯠááœáá·áºááẠáááºááẠááá·áºááœááºážááẠááá¯á¡ááºáááº-
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
á€á¡áááá·áºáá±ážááŸá¯áá»á¬ážááŒá±á¬áá·áºá ááá±á¬ááºá á®áá¬áá¬áá»á¬ážááŸáá·áº áá±ážááºáá¬áá¬áá»á¬ážááá¯á· áá»áááºáááºááŸá¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠáá¯ááºááŸááºáá¬ážáááºááŒá áºááŒá®áž á¡ááá¯áá«áá»áááºáááºááŸá¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠááá±á¬ááºá á®áá±ážáááºááŒá áºáááºá
ááá¯á·ááŒá±á¬áá·áº áá»áœááºá¯ááºááá¯á·áá¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážá¡ááá¯ááºážá áááºááẠSSL áá»áááºáááºááŸá¯áá¯á¶ááŒá¯á¶áá±ážá
ááºážáááºááŸá¯ááœáẠá¡ááŒáá·áºáá¯á¶ážáááŸááºááᯠá¡á±á¬ááºááŒááºáá¯á¶áá¬áá Zimbra OSE á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶áá
áºáá¯áá¯á¶ážá áá¯á¶ááŒá¯á¶áá±ážááá¯áááºáž áááááá¬áá¬ááá¯ážááŒáá·áºá
á±áá«áááºá
Zextras Suite ááŸáá·áºáááºááá¯ááºááá·áºáá±ážááœááºážáá»á¬ážá¡á¬ážáá¯á¶ážá¡ááœááºá áááºááẠZextras Ekaterina Triandafilidi áááá¯ááºá
á¬ážááŸááºáᶠá¡á®ážáá±ážááºááŒáá·áº áááºááœááºááá¯ááºáá«áááºá [á¡á®ážáá±ážááºááá¯áá¬ááœááºáá¬ážáááº]
source: www.habr.com