Moč šifriranja je eden najpomembnejših kazalcev pri uporabi informacijskih sistemov za poslovanje, saj so vsak dan udeleženi pri prenosu ogromne količine zaupnih informacij. Splošno sprejet način ocenjevanja kakovosti povezave SSL je neodvisen test Qualys SSL Labs. Ker lahko ta test izvede kdorkoli, je še posebej pomembno, da ponudniki SaaS dobijo najvišjo možno oceno na tem testu. Ne samo ponudniki SaaS, ampak tudi navadna podjetja skrbijo za kakovost povezave SSL. Zanje je ta test odlična priložnost za prepoznavanje morebitnih ranljivosti in vnaprejšnje zapiranje vseh vrzeli za kibernetske kriminalce.
Zimbra OSE omogoča dve vrsti potrdil SSL. Prvi je samopodpisano potrdilo, ki se samodejno doda med namestitvijo. To potrdilo je brezplačno in časovno neomejeno, zaradi česar je idealno za testiranje Zimbra OSE ali njegovo uporabo izključno v notranjem omrežju. Ko pa se prijavite v spletni odjemalec, bodo uporabniki videli opozorilo brskalnika, da ta certifikat ni vreden zaupanja, in vaš strežnik zagotovo ne bo opravil testa Qualys SSL Labs.
Drugi je komercialni SSL certifikat, ki ga podpiše overitelj. Takšna potrdila brskalniki zlahka sprejmejo in se običajno uporabljajo za komercialno uporabo Zimbra OSE. Takoj po pravilni namestitvi komercialnega potrdila Zimbra OSE 8.8.15 pokaže oceno A v testu Qualys SSL Labs. To je odličen rezultat, naš cilj pa je doseči rezultat A+.
Če želite doseči najvišjo oceno v testu Qualys SSL Labs pri uporabi odprtokodne izdaje Zimbra Collaboration Suite, morate izvesti več korakov:
1. Povečanje parametrov Diffie-Hellmanovega protokola
Privzeto imajo vse komponente Zimbra OSE 8.8.15, ki uporabljajo OpenSSL, nastavitve protokola Diffie-Hellman nastavljene na 2048 bitov. Načeloma je to več kot dovolj za oceno A+ na testu Qualys SSL Labs. Če pa nadgrajujete s starejših različic, so lahko nastavitve nižje. Zato je priporočljivo, da po končani posodobitvi zaženete ukaz zmdhparam set -new 2048, ki bo povečal parametre protokola Diffie-Hellman na sprejemljivih 2048 bitov, po želji pa lahko z istim ukazom povečate vrednost parametrov na 3072 ali 4096 bitov, kar bo po eni strani povzročilo podaljšanje časa generiranja, po drugi strani pa bo pozitivno vplivalo na stopnjo varnosti poštnega strežnika.
2. Vključno s priporočenim seznamom uporabljenih šifer
Zimbra Collaborataion Suite Open-Source Edition privzeto podpira široko paleto močnih in šibkih šifer, ki šifrirajo podatke, ki potekajo prek varne povezave. Vendar pa je uporaba šibkih šifer resna pomanjkljivost pri preverjanju varnosti povezave SSL. Da bi se temu izognili, morate konfigurirati seznam uporabljenih šifer.
Če želite to narediti, uporabite ukaz zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ta ukaz takoj vključi nabor priporočenih šifer in zahvaljujoč njemu lahko ukaz takoj vključi zanesljive šifre na seznam in izključi nezanesljive. Zdaj je vse, kar ostane, ponovno zagnati obratna proxy vozlišča z ukazom zmproxyctl restart. Po ponovnem zagonu bodo opravljene spremembe začele veljati.
Če vam ta seznam iz enega ali drugega razloga ne ustreza, lahko z ukazom z njega odstranite številne šibke šifre zmprov mcf +zimbraSSLExcludeCipherSuites. Torej, na primer, ukaz zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ki bo popolnoma odpravil uporabo RC4 šifer. Enako je mogoče storiti s šiframi AES in 3DES.
3. Omogočite HSTS
Omogočeni mehanizmi za prisilno šifriranje povezave in obnovitev seje TLS so potrebni tudi za dosego popolnega rezultata v testu Qualys SSL Labs. Če jih želite omogočiti, morate vnesti ukaz zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ta ukaz bo konfiguraciji dodal potrebno glavo in da bodo nove nastavitve začele veljati, boste morali znova zagnati Zimbra OSE z ukazom ponovni zagon zmcontrol.
Že na tej stopnji bo test Qualys SSL Labs pokazal oceno A+, če pa želite dodatno izboljšati varnost svojega strežnika, lahko sprejmete številne druge ukrepe.
Omogočite lahko na primer prisilno šifriranje medprocesnih povezav, prav tako pa lahko omogočite prisilno šifriranje pri povezovanju s storitvami Zimbra OSE. Če želite preveriti medprocesne povezave, vnesite naslednje ukaze:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueČe želite omogočiti prisilno šifriranje, morate vnesti:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEZahvaljujoč tem ukazom bodo vse povezave s proxy strežniki in poštnimi strežniki šifrirane in vse te povezave bodo proxy.
Tako lahko z upoštevanjem naših priporočil ne le dosežete najvišjo oceno v testu varnosti povezave SSL, ampak tudi bistveno povečate varnost celotne infrastrukture OSE Zimbra.
Za vsa vprašanja v zvezi z Zextras Suite se lahko obrnete na predstavnico Zextras Ekaterino Triandafilidi po elektronski pošti. [e-pošta zaščitena]
Vir: www.habr.com