ProHoster > බ්ලොග් > පරිපාලනය > සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

ව්‍යාපාර සඳහා තොරතුරු පද්ධති භාවිතා කිරීමේදී සංකේතාංකනයේ ශක්තිය ඉතා වැදගත් දර්ශක වලින් එකකි, මන්ද සෑම දිනකම ඔවුන් විශාල රහස්‍ය තොරතුරු ප්‍රමාණයක් මාරු කිරීමට සම්බන්ධ වේ. SSL සම්බන්ධතාවයක ගුණාත්මකභාවය තක්සේරු කිරීමේ සාමාන්‍යයෙන් පිළිගත් ක්‍රමයක් වන්නේ Qualys SSL Labs වෙතින් ස්වාධීන පරීක්ෂණයකි. මෙම පරීක්ෂණය ඕනෑම කෙනෙකුට ක්‍රියාත්මක කළ හැකි බැවින්, SaaS සපයන්නන්ට මෙම පරීක්ෂණයෙන් හැකි ඉහළම ලකුණු ලබා ගැනීම විශේෂයෙන් වැදගත් වේ. SaaS සපයන්නන් පමණක් නොව, සාමාන්‍ය ව්‍යවසායන් ද SSL සම්බන්ධතාවයේ ගුණාත්මකභාවය ගැන සැලකිලිමත් වේ. ඔවුන් සඳහා, මෙම පරීක්ෂණය විභව දුර්වලතා හඳුනා ගැනීමට සහ සයිබර් අපරාධකරුවන් සඳහා වන සියලුම හිඩැස් කල්තියා වසා දැමීමට කදිම අවස්ථාවකි.

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම
Zimbra OSE SSL සහතික වර්ග දෙකකට ඉඩ දෙයි. පළමුවැන්න ස්ථාපනය අතරතුර ස්වයංක්‍රීයව එකතු කරන ස්වයං අත්සන් සහතිකයකි. මෙම සහතිකය නොමිලේ වන අතර කාල සීමාවක් නොමැත, එය Zimbra OSE පරීක්ෂා කිරීමට හෝ එය අභ්‍යන්තර ජාලයක් තුළ පමණක් භාවිතා කිරීමට වඩාත් සුදුසු වේ. කෙසේ වෙතත්, වෙබ් සේවාලාභියා වෙත ප්‍රවිෂ්ට වීමේදී, පරිශීලකයන් මෙම සහතිකය විශ්වාස නොකරන බවට බ්‍රවුසරයෙන් අනතුරු ඇඟවීමක් දකිනු ඇති අතර, ඔබගේ සේවාදායකය Qualys SSL Labs වෙතින් වන පරීක්ෂණයෙන් නියත වශයෙන්ම අසමත් වනු ඇත.

දෙවැන්න සහතික කිරීමේ අධිකාරියක් විසින් අත්සන් කරන ලද වාණිජ SSL සහතිකයකි. එවැනි සහතික බ්‍රව්සර් විසින් පහසුවෙන් පිළිගත හැකි අතර සාමාන්‍යයෙන් සිම්බරා OSE හි වාණිජමය භාවිතය සඳහා භාවිතා වේ. වාණිජ සහතිකය නිවැරදිව ස්ථාපනය කිරීමෙන් පසු, Zimbra OSE 8.8.15 Qualys SSL Labs වෙතින් පරීක්ෂණයේ A ලකුණු පෙන්වයි. මෙය විශිෂ්ට ප්‍රතිඵලයක්, නමුත් අපේ අරමුණ A+ ප්‍රතිඵලයක් ලබා ගැනීමයි.

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

Zimbra Collaboration Suite Open-Source Edition භාවිතා කරන විට Qualys SSL Labs වෙතින් පරීක්ෂණයේ උපරිම ලකුණු ලබා ගැනීම සඳහා, ඔබ පියවර ගණනාවක් සම්පූර්ණ කළ යුතුය:

1. Diffie-Hellman ප්රොටෝකෝලයේ පරාමිතීන් වැඩි කිරීම

පෙරනිමියෙන්, OpenSSL භාවිතා කරන සියලුම Zimbra OSE 8.8.15 සංරචක වල Diffie-Hellman ප්‍රොටෝකෝල සැකසුම් බිට් 2048 ලෙස සකසා ඇත. ප්‍රතිපත්තිමය වශයෙන්, Qualys SSL Labs වෙතින් පරීක්ෂණයෙන් A+ ලකුණු ලබා ගැනීමට මෙය ප්‍රමාණවත් වේ. කෙසේ වෙතත්, ඔබ පැරණි අනුවාද වලින් උත්ශ්‍රේණිගත කරන්නේ නම්, සැකසුම් අඩු විය හැක. එබැවින්, යාවත්කාලීන කිරීම අවසන් වූ පසු, zmdhparam set -new 2048 විධානය ක්‍රියාත්මක කිරීම රෙකමදාරු කරනු ලැබේ, එමඟින් Diffie-Hellman ප්‍රොටෝකෝලයේ පරාමිතීන් පිළිගත හැකි 2048 bits දක්වා වැඩි කරනු ඇති අතර, අවශ්‍ය නම්, එම විධානයම භාවිතා කරමින්, ඔබට වැඩි කළ හැකිය. පරාමිතිවල අගය බිටු 3072 හෝ 4096 දක්වා වන අතර එය එක් අතකින් උත්පාදන කාලය වැඩි කිරීමට හේතු වනු ඇත, නමුත් අනෙක් අතට තැපැල් සේවාදායකයේ ආරක්ෂක මට්ටමට ධනාත්මක බලපෑමක් ඇති කරයි.

2. භාවිත කරන ලද කේතාංකවල නිර්දේශිත ලැයිස්තුවක් ඇතුළුව

පෙරනිමියෙන්, Zimbra Collaborataion Suite Open-Source Edition පුළුල් පරාසයක ශක්තිමත් සහ දුර්වල කේතාංක සඳහා සහය දක්වයි, එය ආරක්ෂිත සම්බන්ධතාවයක් හරහා දත්ත සම්ප්‍රේෂණය කරයි. කෙසේ වෙතත්, SSL සම්බන්ධතාවයක ආරක්ෂාව පරීක්ෂා කිරීමේදී දුර්වල කේතාංක භාවිතා කිරීම බරපතල අවාසියකි. මෙය වළක්වා ගැනීම සඳහා, ඔබ භාවිතා කරන කේතාංක ලැයිස්තුව වින්‍යාසගත කළ යුතුය.

මෙය සිදු කිරීම සඳහා, විධානය භාවිතා කරන්න zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

මෙම විධානයට වහාම නිර්දේශිත කේතාංක කට්ටලයක් ඇතුළත් වන අතර එයට ස්තූතිවන්ත වන අතර, විධානයට වහාම ලැයිස්තුවේ විශ්වාසදායක කේතාංක ඇතුළත් කර විශ්වාස කළ නොහැකි ඒවා බැහැර කළ හැකිය. දැන් ඉතිරිව ඇත්තේ zmproxyctl නැවත ආරම්භ කිරීමේ විධානය භාවිතයෙන් ප්‍රතිලෝම ප්‍රොක්සි නෝඩ් නැවත ආරම්භ කිරීම පමණි. නැවත පණගැන්වීමෙන් පසු, සිදු කරන ලද වෙනස්කම් බලාත්මක වනු ඇත.

මෙම ලැයිස්තුව එක් හේතුවක් හෝ වෙනත් හේතුවක් නිසා ඔබට නොගැලපේ නම්, ඔබට විධානය භාවිතයෙන් දුර්වල කේතාංක ගණනාවක් ඉවත් කළ හැකිය. zmprov mcf +zimbraSSLExcludeCipherSuites. ඉතින්, උදාහරණයක් ලෙස, විධානය zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, එය RC4 කේතාංක භාවිතය සම්පූර්ණයෙන්ම ඉවත් කරනු ඇත. AES සහ 3DES කේතාංක සමඟද එය කළ හැකිය.

3. HSTS සබල කරන්න

Qualys SSL Labs පරීක්ෂණයෙන් පරිපූර්ණ ලකුණු ලබා ගැනීම සඳහා සම්බන්ධතා සංකේතනය සහ TLS සැසි ප්‍රතිසාධනය බල කිරීමට සක්‍රීය යාන්ත්‍රණ ද අවශ්‍ය වේ. ඒවා සක්රිය කිරීමට ඔබ විධානය ඇතුල් කළ යුතුය zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". මෙම විධානය වින්‍යාසයට අවශ්‍ය ශීර්ෂකය එක් කරනු ඇති අතර නව සැකසුම් ක්‍රියාත්මක වීමට නම් ඔබට විධානය භාවිතා කර Zimbra OSE නැවත ආරම්භ කිරීමට සිදුවේ. zmcontrol නැවත ආරම්භ කරන්න.

දැනටමත් මෙම අදියරේදී, Qualys SSL Labs වෙතින් වන පරීක්ෂණය A+ ශ්‍රේණිගත කිරීමක් පෙන්වනු ඇත, නමුත් ඔබට ඔබේ සේවාදායකයේ ආරක්ෂාව තවදුරටත් වැඩිදියුණු කිරීමට අවශ්‍ය නම්, ඔබට ගත හැකි වෙනත් ක්‍රියාමාර්ග ගණනාවක් තිබේ.

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

උදාහරණයක් ලෙස, ඔබට අන්තර්-ක්‍රියාවලි සම්බන්ධතා බලහත්කාරයෙන් සංකේතනය කිරීම සක්‍රීය කළ හැකි අතර, ඔබට සිම්බ්‍රා OSE සේවා වෙත සම්බන්ධ වන විට බලහත්කාර සංකේතනයද සක්‍රීය කළ හැක. අන්තර් ක්‍රියාවලි සම්බන්ධතා පරීක්ෂා කිරීමට, පහත විධානයන් ඇතුළත් කරන්න:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

බලහත්කාරයෙන් සංකේතනය සක්‍රීය කිරීමට ඔබ ඇතුළු කිරීමට අවශ්‍ය වන්නේ:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

මෙම විධානයන්ට ස්තූතිවන්ත වන්නට, ප්‍රොක්සි සේවාදායකයන් සහ තැපැල් සේවාදායකයන් වෙත ඇති සියලුම සම්බන්ධතා සංකේතනය කරනු ලබන අතර, මෙම සියලු සම්බන්ධතා ප්‍රොක්සි කරනු ලැබේ.

සිම්බ්‍රා සහයෝගිතා කට්ටල විවෘත මූලාශ්‍ර සංස්කරණයේ SSL සම්බන්ධතා ආරක්ෂණ සැකසුම් වැඩිදියුණු කිරීම

මේ අනුව, අපගේ නිර්දේශ අනුගමනය කරමින්, ඔබට SSL සම්බන්ධතා ආරක්ෂණ පරීක්ෂණයේ ඉහළම ලකුණු ලබා ගැනීමට පමණක් නොව, සමස්ත Zimbra OSE යටිතල පහසුකම්වල ආරක්ෂාව සැලකිය යුතු ලෙස වැඩි කළ හැකිය.

Zextras Suite සම්බන්ධ සියලුම ප්‍රශ්න සඳහා, ඔබට විද්‍යුත් තැපෑලෙන් Zextras Ekaterina Triandafilidi හි නියෝජිතයා සම්බන්ධ කර ගත හැක. [විද්‍යුත් ආරක්‍ෂිත]

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න