A força da criptografia é um dos indicadores mais importantes na utilização de sistemas de informação para negócios, pois todos os dias eles estão envolvidos na transferência de uma enorme quantidade de informações confidenciais. Um meio geralmente aceito de avaliar a qualidade de uma conexão SSL é um teste independente do Qualys SSL Labs. Como este teste pode ser executado por qualquer pessoa, é especialmente importante que os provedores de SaaS obtenham a pontuação mais alta possível neste teste. Não apenas os provedores de SaaS, mas também as empresas comuns se preocupam com a qualidade da conexão SSL. Para eles, este teste é uma excelente oportunidade para identificar vulnerabilidades potenciais e fechar antecipadamente todas as brechas para os cibercriminosos.
O Zimbra OSE permite dois tipos de certificados SSL. O primeiro é um certificado autoassinado que é adicionado automaticamente durante a instalação. Este certificado é gratuito e não tem limite de tempo, o que o torna ideal para testar o Zimbra OSE ou utilizá-lo exclusivamente em uma rede interna. No entanto, ao fazer login no cliente web, os usuários verão um aviso do navegador de que este certificado não é confiável e seu servidor definitivamente falhará no teste do Qualys SSL Labs.
O segundo é um certificado SSL comercial assinado por uma autoridade de certificação. Tais certificados são facilmente aceitos pelos navegadores e geralmente são usados para uso comercial do Zimbra OSE. Imediatamente após a correta instalação do certificado comercial, o Zimbra OSE 8.8.15 apresenta nota A no teste do Qualys SSL Labs. Este é um excelente resultado, mas nosso objetivo é alcançar um resultado A+.
Para obter a pontuação máxima no teste do Qualys SSL Labs ao usar o Zimbra Collaboration Suite Open-Source Edition, você deve concluir uma série de etapas:
1. Aumentando os parâmetros do protocolo Diffie-Hellman
Por padrão, todos os componentes do Zimbra OSE 8.8.15 que usam OpenSSL têm configurações de protocolo Diffie-Hellman definidas para 2048 bits. Em princípio, isso é mais que suficiente para obter uma pontuação A+ no teste do Qualys SSL Labs. No entanto, se você estiver atualizando de versões mais antigas, as configurações poderão ser inferiores. Portanto, é recomendado que após a conclusão da atualização, execute o comando zmdhparam set -new 2048, que aumentará os parâmetros do protocolo Diffie-Hellman para 2048 bits aceitáveis, e se desejar, usando o mesmo comando, você pode aumentar o valor dos parâmetros para 3072 ou 4096 bits, o que por um lado levará a um aumento no tempo de geração, mas por outro lado terá um efeito positivo no nível de segurança do servidor de correio.
2. Incluindo uma lista recomendada de cifras usadas
Por padrão, o Zimbra Collaborataion Suite Open-Source Edition oferece suporte a uma ampla variedade de cifras fortes e fracas, que criptografam os dados que passam por uma conexão segura. No entanto, o uso de cifras fracas é uma séria desvantagem ao verificar a segurança de uma conexão SSL. Para evitar isso, é necessário configurar a lista de cifras utilizadas.
Para fazer isso, use o comando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Este comando inclui imediatamente um conjunto de cifras recomendadas e, graças a ele, o comando pode incluir imediatamente cifras confiáveis na lista e excluir as não confiáveis. Agora tudo o que resta é reiniciar os nós do proxy reverso usando o comando zmproxyctl restart. Após a reinicialização, as alterações feitas entrarão em vigor.
Se esta lista não for adequada para você por um motivo ou outro, você pode remover dela uma série de cifras fracas usando o comando zmprov mcf +zimbraSSLExcludeCipherSuites. Assim, por exemplo, o comando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, o que eliminará completamente o uso de cifras RC4. O mesmo pode ser feito com as cifras AES e 3DES.
3. Habilite HSTS
Mecanismos habilitados para forçar a criptografia de conexão e recuperação de sessão TLS também são necessários para obter uma pontuação perfeita no teste Qualys SSL Labs. Para habilitá-los você deve digitar o comando zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Este comando adicionará o cabeçalho necessário à configuração, e para que as novas configurações tenham efeito você terá que reiniciar o Zimbra OSE usando o comando reinicialização do zmcontrol.
Já nesta fase, o teste do Qualys SSL Labs apresentará uma classificação A+, mas se quiser melhorar ainda mais a segurança do seu servidor, há uma série de outras medidas que pode tomar.
Por exemplo, você pode habilitar a criptografia forçada de conexões entre processos e também pode habilitar a criptografia forçada ao se conectar aos serviços Zimbra OSE. Para verificar conexões entre processos, insira os seguintes comandos:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePara ativar a criptografia forçada, você precisa inserir:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGraças a esses comandos, todas as conexões com servidores proxy e servidores de e-mail serão criptografadas e todas essas conexões serão proxy.
Assim, seguindo nossas recomendações, você poderá não apenas obter a pontuação mais alta no teste de segurança de conexão SSL, mas também aumentar significativamente a segurança de toda a infraestrutura Zimbra OSE.
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da Zextras Ekaterina Triandafilidi por e-mail [email protegido]
Fonte: habr.com