انڪرپشن جي طاقت سڀ کان اهم اشارن مان هڪ آهي جڏهن ڪاروبار لاءِ انفارميشن سسٽم استعمال ڪيو وڃي ٿو، ڇاڪاڻ ته هر روز اهي ڳجهي معلومات جي وڏي مقدار جي منتقلي ۾ ملوث آهن. هڪ SSL ڪنيڪشن جي معيار کي جانچڻ جو هڪ عام طور تي قبول ٿيل وسيلو Qualys SSL Labs کان هڪ آزاد ٽيسٽ آهي. جيئن ته هي امتحان هر ڪنهن طرفان هلائي سگهجي ٿو، اهو خاص طور تي اهم آهي SaaS فراهم ڪندڙن لاءِ هن ٽيسٽ تي سڀ کان وڌيڪ ممڪن نمبر حاصل ڪرڻ. نه رڳو SaaS فراهم ڪندڙ، پر عام ادارا پڻ SSL ڪنيڪشن جي معيار جو خيال رکندا آهن. انهن لاءِ، هي امتحان هڪ بهترين موقعو آهي امڪاني نقصانن جي نشاندهي ڪرڻ ۽ سائبر ڪرمنلز لاءِ اڳواٽ ئي سڀني خامين کي بند ڪرڻ جو.
Zimbra OSE ٻن قسمن جي SSL سرٽيفڪيٽ جي اجازت ڏئي ٿو. پهريون هڪ خود دستخط ٿيل سرٽيفڪيٽ آهي جيڪو خودڪار طور تي انسٽاليشن دوران شامل ڪيو ويو آهي. هي سرٽيفڪيٽ مفت آهي ۽ وقت جي ڪا حد ناهي، ان کي Zimbra OSE جي جاچ لاءِ مثالي بڻائيندي يا ان کي خاص طور تي اندروني نيٽ ورڪ ۾ استعمال ڪندي. جڏهن ته، ويب ڪلائنٽ ۾ لاگ ان ٿيڻ وقت، صارفين کي برائوزر کان هڪ ڊيڄاريندڙ ڏسندا ته هي سرٽيفڪيٽ ناقابل اعتبار آهي، ۽ توهان جو سرور يقيني طور تي Qualys SSL Labs جي امتحان ۾ ناڪام ٿيندو.
ٻيو هڪ تجارتي SSL سرٽيفڪيٽ آهي جيڪو هڪ سرٽيفڪيشن اٿارٽي پاران دستخط ڪيو ويو آهي. اهڙا سرٽيفڪيٽ آساني سان برائوزرن طرفان قبول ڪيا ويندا آهن ۽ عام طور تي Zimbra OSE جي تجارتي استعمال لاءِ استعمال ٿيندا آهن. فوري طور تي تجارتي سرٽيفڪيٽ جي صحيح تنصيب کان پوء، Zimbra OSE 8.8.15 Qualys SSL Labs مان ٽيسٽ ۾ هڪ نمبر ڏيکاري ٿو. هي هڪ بهترين نتيجو آهي، پر اسان جو مقصد هڪ A+ نتيجو حاصل ڪرڻ آهي.
Qualys SSL Labs مان ٽيسٽ ۾ وڌ ۾ وڌ اسڪور حاصل ڪرڻ لاءِ جڏهن زمبرا ڪوليبريشن سوٽ اوپن سورس ايڊيشن استعمال ڪندي، توهان کي ڪجهه قدم مڪمل ڪرڻ گهرجن:
1. Diffie-Hellman پروٽوڪول جي پيراگراف کي وڌائڻ
ڊفالٽ طور، سڀئي Zimbra OSE 8.8.15 اجزاء جيڪي OpenSSL استعمال ڪن ٿا، Diffie-Hellman پروٽوڪول سيٽنگون 2048 بٽس تي سيٽ ڪيون ويون آهن. اصول ۾، اهو ڪافي کان وڌيڪ آهي A + سکور حاصل ڪرڻ لاءِ ٽيسٽ ۾ Qualys SSL Labs. بهرحال، جيڪڏهن توهان پراڻن ورزن مان اپڊيٽ ڪري رهيا آهيو، سيٽنگون گهٽ ٿي سگهن ٿيون. تنهن ڪري، اها سفارش ڪئي وئي آهي ته اپڊيٽ مڪمل ٿيڻ کان پوء، ڪمانڊ zmdhparam set -new 2048 کي هلايو، جيڪو Diffie-Hellman پروٽوڪول جي پيرا ميٽرز کي هڪ قابل قبول 2048 بٽس تائين وڌائيندو، ۽ جيڪڏهن گهربل هجي، ساڳيو حڪم استعمال ڪندي، توهان وڌائي سگهو ٿا. 3072 يا 4096 بٽس جي پيرا ميٽرن جي قيمت، جيڪا هڪ طرف نسل جي وقت ۾ اضافو ٿيندو، پر ٻئي طرف ميل سرور جي سيڪيورٽي سطح تي مثبت اثر ٿيندو.
2. استعمال ٿيل ciphers جي تجويز ڪيل فهرست سميت
ڊفالٽ طور، Zimbra Collaborataion Suite Open-Source Edition مضبوط ۽ ڪمزور سائفرن جي وسيع رينج کي سپورٽ ڪري ٿو، جيڪي محفوظ ڪنيڪشن تي گذرندڙ ڊيٽا کي انڪرپٽ ڪن ٿا. جڏهن ته، هڪ SSL ڪنيڪشن جي سيڪيورٽي کي جانچڻ دوران ڪمزور سائفرن جو استعمال هڪ سنگين نقصان آهي. هن کان بچڻ لاء، توهان کي استعمال ٿيل ciphers جي فهرست ترتيب ڏيڻ جي ضرورت آهي.
هن کي ڪرڻ لاء، حڪم استعمال ڪريو zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
ھن حڪم ۾ فوري طور تي تجويز ڪيل سيفرن جو ھڪڙو سيٽ شامل آھي ۽ ان جي مھرباني ڪري، حڪم فوري طور تي قابل اعتماد سيفرن کي لسٽ ۾ شامل ڪري سگھي ٿو ۽ ناقابل اعتبار وارن کي خارج ڪري سگھي ٿو. هاڻي باقي رهي ٿو zmproxyctl ريسٽارٽ ڪمانڊ استعمال ڪندي ريورس پراکسي نوڊس کي ٻيهر شروع ڪرڻ. ريبوٽ کان پوء، تبديليون ڪيون وينديون اثر انداز ٿيندي.
جيڪڏهن هي فهرست توهان کي هڪ يا ٻئي سبب لاء مناسب نه آهي، توهان حڪم استعمال ڪندي ان مان ڪيترن ئي ڪمزور سيفرن کي هٽائي سگهو ٿا. zmprov mcf +zimbraSSLExcludeCipherSuites. تنهن ڪري، مثال طور، حڪم zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA، جيڪو مڪمل طور تي RC4 ciphers جي استعمال کي ختم ڪري ڇڏيندو. ساڳيو ئي AES ۽ 3DES ciphers سان ڪري سگهجي ٿو.
3. HSTS کي فعال ڪريو
ڪنيڪشن انڪرپشن ۽ TLS سيشن جي بحالي کي مجبور ڪرڻ لاءِ فعال ميڪانيزم پڻ Qualys SSL Labs ٽيسٽ ۾ مڪمل اسڪور حاصل ڪرڻ جي ضرورت آهي. انھن کي فعال ڪرڻ لاء توھان کي حڪم داخل ڪرڻ گھرجي zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". هي حڪم ضروري هيڊر کي ترتيب ڏيڻ ۾ شامل ڪندو، ۽ نئين سيٽنگون اثر انداز ڪرڻ لاء توهان کي حڪم استعمال ڪندي Zimbra OSE کي ٻيهر شروع ڪرڻو پوندو. zmcontrol ٻيھر شروع ٿيو.
اڳ ۾ ئي هن اسٽيج تي، Qualys SSL Labs مان ٽيسٽ ڏيکاريندو A + درجه بندي، پر جيڪڏهن توهان چاهيو ٿا ته وڌيڪ بهتر توهان جي سرور جي سيڪيورٽي، اتي ٻيا به ڪيترائي اپاءَ آهن جيڪي توهان وٺي سگهو ٿا.
مثال طور، توهان انٽر پروسيس ڪنيڪشن جي جبري انڪرپشن کي فعال ڪري سگهو ٿا، ۽ توهان Zimbra OSE سروسز سان ڳنڍڻ دوران جبري انڪرپشن کي به فعال ڪري سگهو ٿا. interprocess ڪنيڪشن چيڪ ڪرڻ لاء، هيٺ ڏنل حڪم داخل ڪريو:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueزبردستي انڪرپشن کي فعال ڪرڻ لاءِ توھان کي داخل ڪرڻو پوندو:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEانهن حڪمن جي مهرباني، پراکسي سرورز ۽ ميل سرورز جا سڀئي ڪنيڪشن انڪريپٽ ڪيا ويندا، ۽ اهي سڀئي ڪنيڪشن پراڪسي ڪيا ويندا.
اهڙيءَ طرح، اسان جي سفارشن تي عمل ڪندي، توهان نه رڳو SSL ڪنيڪشن سيڪيورٽي ٽيسٽ ۾ اعليٰ ترين اسڪور حاصل ڪري سگهو ٿا، پر پوري Zimbra OSE انفراسٽرڪچر جي سيڪيورٽي کي به خاص طور تي وڌائي سگهو ٿا.
Zextras Suite سان لاڳاپيل سڀني سوالن لاء، توهان اي ميل ذريعي Zextras جي نمائندي Ekaterina Triandafilidi سان رابطو ڪري سگهو ٿا [ايميل محفوظ ٿيل]
جو ذريعو: www.habr.com