Puterea criptării este unul dintre cei mai importanți indicatori atunci când se utilizează sisteme informatice pentru afaceri, deoarece în fiecare zi sunt implicați în transferul unei cantități uriașe de informații confidențiale. Un mijloc general acceptat de a evalua calitatea unei conexiuni SSL este un test independent de la Qualys SSL Labs. Deoarece acest test poate fi rulat de oricine, este deosebit de important pentru furnizorii SaaS să obțină cel mai mare scor posibil la acest test. Nu numai furnizorilor SaaS, ci și întreprinderilor obișnuite le pasă de calitatea conexiunii SSL. Pentru ei, acest test este o oportunitate excelentă de a identifica potențialele vulnerabilități și de a închide în avans toate lacunele pentru infractorii cibernetici.
Zimbra OSE permite două tipuri de certificate SSL. Primul este un certificat autosemnat care este adăugat automat în timpul instalării. Acest certificat este gratuit și nu are limită de timp, ceea ce îl face ideal pentru testarea Zimbra OSE sau pentru utilizarea exclusivă într-o rețea internă. Cu toate acestea, atunci când se conectează la clientul web, utilizatorii vor vedea un avertisment din browser că acest certificat nu este de încredere, iar serverul dvs. va eșua cu siguranță testul de la Qualys SSL Labs.
Al doilea este un certificat SSL comercial semnat de o autoritate de certificare. Astfel de certificate sunt ușor acceptate de browsere și sunt utilizate de obicei pentru utilizarea comercială a Zimbra OSE. Imediat după instalarea corectă a certificatului comercial, Zimbra OSE 8.8.15 arată un scor A la testul de la Qualys SSL Labs. Acesta este un rezultat excelent, dar scopul nostru este să obținem un rezultat A+.
Pentru a obține scorul maxim la testul de la Qualys SSL Labs atunci când utilizați Zimbra Collaboration Suite Open-Source Edition, trebuie să parcurgeți o serie de pași:
1. Creșterea parametrilor protocolului Diffie-Hellman
În mod implicit, toate componentele Zimbra OSE 8.8.15 care utilizează OpenSSL au setări de protocol Diffie-Hellman setate la 2048 de biți. În principiu, acest lucru este mai mult decât suficient pentru a obține un scor A+ la testul de la Qualys SSL Labs. Cu toate acestea, dacă faceți upgrade de la versiuni mai vechi, setările pot fi mai mici. Prin urmare, se recomandă ca, după finalizarea actualizării, să rulați comanda zmdhparam set -new 2048, care va crește parametrii protocolului Diffie-Hellman la un nivel acceptabil de 2048 de biți și, dacă doriți, folosind aceeași comandă, puteți crește valoarea parametrilor la 3072 sau 4096 biți, ceea ce va duce, pe de o parte, la o creștere a timpului de generare, dar pe de altă parte va avea un efect pozitiv asupra nivelului de securitate al serverului de e-mail.
2. Includerea unei liste recomandate de cifruri utilizate
În mod implicit, Zimbra Collaborataion Suite Open-Source Edition acceptă o gamă largă de cifruri puternice și slabe, care criptează datele care trec printr-o conexiune sigură. Cu toate acestea, utilizarea unor cifruri slabe este un dezavantaj serios atunci când se verifică securitatea unei conexiuni SSL. Pentru a evita acest lucru, trebuie să configurați lista de cifruri utilizate.
Pentru a face acest lucru, utilizați comanda zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Această comandă include imediat un set de cifruri recomandate și datorită ei, comanda poate include imediat cifrurile de încredere în listă și le poate exclude pe cele nesigure. Acum tot ce rămâne este să reporniți nodurile proxy inverse folosind comanda zmproxyctl restart. După o repornire, modificările efectuate vor intra în vigoare.
Dacă această listă nu vă convine dintr-un motiv sau altul, puteți elimina o serie de cifruri slabe din ea folosind comanda zmprov mcf +zimbraSSLExcludeCipherSuites. Deci, de exemplu, comanda zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, care va elimina complet utilizarea cifrurilor RC4. Același lucru se poate face cu cifrurile AES și 3DES.
3. Activați HSTS
Mecanismele activate pentru a forța criptarea conexiunii și recuperarea sesiunii TLS sunt, de asemenea, necesare pentru a obține un scor perfect în testul Qualys SSL Labs. Pentru a le activa, trebuie să introduceți comanda zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Această comandă va adăuga antetul necesar la configurație, iar pentru ca noile setări să aibă efect, va trebui să reporniți Zimbra OSE folosind comanda reporniți zmcontrol.
Deja în această etapă, testul de la Qualys SSL Labs va arăta un rating A+, dar dacă doriți să îmbunătățiți și mai mult securitatea serverului dvs., există o serie de alte măsuri pe care le puteți lua.
De exemplu, puteți activa criptarea forțată a conexiunilor între procese și, de asemenea, puteți activa criptarea forțată atunci când vă conectați la serviciile Zimbra OSE. Pentru a verifica conexiunile între procese, introduceți următoarele comenzi:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePentru a activa criptarea forțată, trebuie să introduceți:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDatorită acestor comenzi, toate conexiunile la serverele proxy și serverele de e-mail vor fi criptate și toate aceste conexiuni vor fi proxy.
Astfel, urmând recomandările noastre, nu numai că poți obține cel mai mare punctaj la testul de securitate a conexiunii SSL, dar și să crești semnificativ securitatea întregii infrastructuri Zimbra OSE.
Pentru toate întrebările legate de Zextras Suite, puteți contacta Reprezentantul Zextras Ekaterina Triandafilidi prin e-mail [e-mail protejat]
Sursa: www.habr.com