De kracht van encryptie is een van de belangrijkste indicatoren bij het gebruik van informatiesystemen voor bedrijven, omdat deze elke dag betrokken zijn bij de overdracht van een enorme hoeveelheid vertrouwelijke informatie. Een algemeen geaccepteerd middel om de kwaliteit van een SSL-verbinding te beoordelen is een onafhankelijke test van Qualys SSL Labs. Omdat deze test door iedereen kan worden uitgevoerd, is het vooral voor SaaS-aanbieders van belang om een zo hoog mogelijke score op deze test te behalen. Niet alleen SaaS-aanbieders, maar ook gewone ondernemingen vinden de kwaliteit van de SSL-verbinding belangrijk. Voor hen is deze test een uitgelezen kans om potentiële kwetsbaarheden te identificeren en alle mazen in de wet voor cybercriminelen vooraf te dichten.
Zimbra OSE staat twee soorten SSL-certificaten toe. De eerste is een zelfondertekend certificaat dat automatisch wordt toegevoegd tijdens de installatie. Dit certificaat is gratis en kent geen tijdslimiet, waardoor het ideaal is om Zimbra OSE te testen of uitsluitend binnen een intern netwerk te gebruiken. Wanneer gebruikers echter inloggen op de webclient, zien ze een waarschuwing van de browser dat dit certificaat niet wordt vertrouwd, en zal uw server zeker niet slagen voor de test van Qualys SSL Labs.
De tweede is een commercieel SSL-certificaat ondertekend door een certificeringsinstantie. Dergelijke certificaten worden gemakkelijk door browsers geaccepteerd en worden meestal gebruikt voor commercieel gebruik van Zimbra OSE. Direct na de juiste installatie van het commerciële certificaat laat Zimbra OSE 8.8.15 een A-score zien in de test van Qualys SSL Labs. Dit is een uitstekend resultaat, maar ons doel is om een A+ resultaat te behalen.
Om de maximale score te behalen in de test van Qualys SSL Labs bij gebruik van Zimbra Collaboration Suite Open-Source Edition, moet je een aantal stappen doorlopen:
1. Het verhogen van de parameters van het Diffie-Hellman-protocol
Standaard hebben alle Zimbra OSE 8.8.15-componenten die OpenSSL gebruiken de Diffie-Hellman-protocolinstellingen ingesteld op 2048 bits. In principe is dit ruim voldoende om een A+ score te halen in de test van Qualys SSL Labs. Als u echter een upgrade uitvoert vanaf oudere versies, kunnen de instellingen lager zijn. Daarom wordt aanbevolen om, nadat de update is voltooid, de opdracht zmdhparam set -new 2048 uit te voeren, waardoor de parameters van het Diffie-Hellman-protocol worden verhoogd tot een acceptabele 2048 bits, en indien gewenst kunt u met dezelfde opdracht de de waarde van de parameters op 3072 of 4096 bits, wat enerzijds zal leiden tot een langere generatietijd, maar anderzijds een positief effect zal hebben op het beveiligingsniveau van de mailserver.
2. Inclusief een aanbevolen lijst met gebruikte cijfers
Standaard ondersteunt Zimbra Collaborataion Suite Open-Source Edition een breed scala aan sterke en zwakke cijfers, die gegevens coderen die via een beveiligde verbinding worden verzonden. Het gebruik van zwakke cijfers is echter een ernstig nadeel bij het controleren van de veiligheid van een SSL-verbinding. Om dit te voorkomen, moet u de lijst met gebruikte cijfers configureren.
Gebruik hiervoor de opdracht zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Dit commando bevat onmiddellijk een reeks aanbevolen cijfers en dankzij dit commando kan het commando onmiddellijk betrouwbare cijfers in de lijst opnemen en onbetrouwbare cijfers uitsluiten. Nu hoeft u alleen nog maar de reverse proxy-knooppunten opnieuw op te starten met behulp van de opdracht zmproxyctl restart. Na een herstart worden de aangebrachte wijzigingen van kracht.
Als deze lijst om de een of andere reden niet bij u past, kunt u er met het commando een aantal zwakke cijfers uit verwijderen zmprov mcf +zimbraSSLExcludeCipherSuites. Dus bijvoorbeeld de opdracht zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, waardoor het gebruik van RC4-cijfers volledig zal worden geëlimineerd. Hetzelfde kan worden gedaan met AES- en 3DES-cijfers.
3. Schakel HSTS in
Ingeschakelde mechanismen om verbindingsversleuteling en herstel van TLS-sessies af te dwingen zijn ook vereist om een perfecte score te behalen in de Qualys SSL Labs-test. Om ze in te schakelen, moet u de opdracht invoeren zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Met deze opdracht wordt de benodigde header aan de configuratie toegevoegd. Om de nieuwe instellingen van kracht te laten worden, moet u Zimbra OSE opnieuw opstarten met de opdracht zmcontrol herstart.
In dit stadium zal de test van Qualys SSL Labs al een A+ rating laten zien, maar als je de beveiliging van je server nog verder wilt verbeteren, zijn er nog een aantal andere maatregelen die je kunt nemen.
U kunt bijvoorbeeld geforceerde versleuteling van verbindingen tussen processen inschakelen, en u kunt ook geforceerde versleuteling inschakelen wanneer u verbinding maakt met Zimbra OSE-services. Om interprocesverbindingen te controleren, voert u de volgende opdrachten in:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueOm geforceerde codering in te schakelen, moet u het volgende invoeren:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDankzij deze commando's worden alle verbindingen met proxyservers en mailservers gecodeerd en worden al deze verbindingen proxyed.
Als u onze aanbevelingen volgt, kunt u dus niet alleen de hoogste score behalen in de SSL-verbindingsbeveiligingstest, maar ook de beveiliging van de gehele Zimbra OSE-infrastructuur aanzienlijk verhogen.
Voor alle vragen met betrekking tot Zextras Suite kunt u per e-mail contact opnemen met de vertegenwoordiger van Zextras Ekaterina Triandafilidi [e-mail beveiligd]
Bron: www.habr.com