Styrken til krypteringen er en av de viktigste indikatorene når du bruker informasjonssystemer for virksomheten, fordi de hver dag er involvert i overføringen av en enorm mengde konfidensiell informasjon. Et generelt akseptert middel for å vurdere kvaliteten på en SSL-tilkobling er en uavhengig test fra Qualys SSL Labs. Siden denne testen kan kjøres av alle, er det spesielt viktig for SaaS-leverandører å få høyest mulig poengsum på denne testen. Ikke bare SaaS-leverandører, men også vanlige bedrifter bryr seg om kvaliteten på SSL-forbindelsen. For dem er denne testen en utmerket mulighet til å identifisere potensielle sårbarheter og tette alle smutthull for nettkriminelle på forhånd.
Zimbra OSE tillater to typer SSL-sertifikater. Det første er et selvsignert sertifikat som automatisk legges til under installasjonen. Dette sertifikatet er gratis og har ingen tidsbegrensning, noe som gjør det ideelt for å teste Zimbra OSE eller bruke det utelukkende innenfor et internt nettverk. Men når du logger på nettklienten, vil brukere se en advarsel fra nettleseren om at dette sertifikatet ikke er klarert, og serveren din vil definitivt mislykkes i testen fra Qualys SSL Labs.
Det andre er et kommersielt SSL-sertifikat signert av en sertifiseringsinstans. Slike sertifikater aksepteres lett av nettlesere og brukes vanligvis til kommersiell bruk av Zimbra OSE. Umiddelbart etter korrekt installasjon av det kommersielle sertifikatet viser Zimbra OSE 8.8.15 en A-score i testen fra Qualys SSL Labs. Dette er et utmerket resultat, men vårt mål er å oppnå et A+ resultat.
For å oppnå maksimal poengsum i testen fra Qualys SSL Labs når du bruker Zimbra Collaboration Suite Open-Source Edition, må du fullføre en rekke trinn:
1. Øke parametrene til Diffie-Hellman-protokollen
Som standard har alle Zimbra OSE 8.8.15-komponenter som bruker OpenSSL Diffie-Hellman-protokollinnstillinger satt til 2048 biter. I prinsippet er dette mer enn nok til å få en A+-score i testen fra Qualys SSL Labs. Men hvis du oppgraderer fra eldre versjoner, kan innstillingene være lavere. Derfor anbefales det at etter at oppdateringen er fullført, kjører du kommandoen zmdhparam set -new 2048, som vil øke parametrene til Diffie-Hellman-protokollen til akseptable 2048 biter, og hvis ønskelig, med samme kommando, kan du øke verdien av parameterne til 3072 eller 4096 biter, noe som på den ene siden vil føre til økt generasjonstid, men på den annen side vil ha en positiv effekt på sikkerhetsnivået til e-postserveren.
2. Inkludert en anbefalt liste over chiffer som brukes
Som standard støtter Zimbra Collaborataion Suite Open-Source Edition et bredt spekter av sterke og svake chiffer, som krypterer data som går over en sikker tilkobling. Imidlertid er bruken av svake chiffer en alvorlig ulempe når du sjekker sikkerheten til en SSL-tilkobling. For å unngå dette, må du konfigurere listen over chiffer som brukes.
For å gjøre dette, bruk kommandoen zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Denne kommandoen inkluderer umiddelbart et sett med anbefalte chiffer, og takket være den kan kommandoen umiddelbart inkludere pålitelige chiffer i listen og ekskludere upålitelige. Nå gjenstår det bare å starte de omvendte proxy-nodene på nytt ved å bruke zmproxyctl restart-kommandoen. Etter en omstart trer endringene i kraft.
Hvis denne listen ikke passer deg av en eller annen grunn, kan du fjerne en rekke svake siffer fra den ved å bruke kommandoen zmprov mcf +zimbraSSLExcludeCipherSuites. Så for eksempel kommandoen zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, som helt vil eliminere bruken av RC4-chiffer. Det samme kan gjøres med AES- og 3DES-chiffer.
3. Aktiver HSTS
Aktiverte mekanismer for å tvinge tilkoblingskryptering og gjenoppretting av TLS-økter kreves også for å oppnå en perfekt poengsum i Qualys SSL Labs-testen. For å aktivere dem må du skrive inn kommandoen zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Denne kommandoen vil legge til den nødvendige overskriften til konfigurasjonen, og for at de nye innstillingene skal tre i kraft må du starte Zimbra OSE på nytt med kommandoen zmcontrol start på nytt.
Allerede på dette stadiet vil testen fra Qualys SSL Labs vise en A+-rating, men hvis du ønsker å forbedre sikkerheten til serveren din ytterligere, er det en rekke andre tiltak du kan gjøre.
Du kan for eksempel aktivere tvungen kryptering av tilkoblinger mellom prosesser, og du kan også aktivere tvungen kryptering når du kobler til Zimbra OSE-tjenester. For å sjekke tilkoblinger mellom prosesser, skriv inn følgende kommandoer:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueFor å aktivere tvungen kryptering må du angi:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETakket være disse kommandoene vil alle tilkoblinger til proxy-servere og e-postservere være kryptert, og alle disse tilkoblingene vil være proxy-servere.
Dermed kan du, etter våre anbefalinger, ikke bare oppnå den høyeste poengsummen i SSL-tilkoblingssikkerhetstesten, men også øke sikkerheten til hele Zimbra OSE-infrastrukturen betydelig.
For alle spørsmål relatert til Zextras Suite, kan du kontakte representanten for Zextras Ekaterina Triandafilidi på e-post [e-postbeskyttet]
Kilde: www.habr.com