Fuqia e kriptimit është një nga treguesit më të rëndësishëm kur përdoren sistemet e informacionit për biznesin, sepse çdo ditë ata përfshihen në transferimin e një sasie të madhe informacioni konfidencial. Një mjet i pranuar përgjithësisht për të vlerësuar cilësinë e një lidhjeje SSL është një test i pavarur nga Qualys SSL Labs. Meqenëse ky test mund të drejtohet nga kushdo, është veçanërisht e rëndësishme që ofruesit e SaaS të marrin rezultatin më të lartë të mundshëm në këtë test. Jo vetëm ofruesit e SaaS, por edhe ndërmarrjet e zakonshme kujdesen për cilësinë e lidhjes SSL. Për ta, ky test është një mundësi e shkëlqyer për të identifikuar dobësitë e mundshme dhe për të mbyllur paraprakisht të gjitha boshllëqet për kriminelët kibernetikë.
Zimbra OSE lejon dy lloje të certifikatave SSL. E para është një certifikatë e vetë-nënshkruar që shtohet automatikisht gjatë instalimit. Kjo certifikatë është falas dhe nuk ka kufizim kohor, duke e bërë atë ideale për testimin e Zimbra OSE ose përdorimin e saj ekskluzivisht brenda një rrjeti të brendshëm. Megjithatë, kur hyni në klientin në ueb, përdoruesit do të shohin një paralajmërim nga shfletuesi se kjo certifikatë nuk është e besueshme dhe serveri juaj patjetër do të dështojë në testin nga Qualys SSL Labs.
E dyta është një certifikatë tregtare SSL e nënshkruar nga një autoritet certifikues. Certifikata të tilla pranohen lehtësisht nga shfletuesit dhe zakonisht përdoren për përdorim komercial të Zimbra OSE. Menjëherë pas instalimit të saktë të certifikatës tregtare, Zimbra OSE 8.8.15 tregon një rezultat A në testin nga Qualys SSL Labs. Ky është një rezultat i shkëlqyer, por synimi ynë është të arrijmë një rezultat A+.
Për të arritur rezultatin maksimal në test nga Qualys SSL Labs kur përdorni Zimbra Collaboration Suite Edition me burim të hapur, duhet të plotësoni një sërë hapash:
1. Rritja e parametrave të protokollit Diffie-Hellman
Si parazgjedhje, të gjithë komponentët Zimbra OSE 8.8.15 që përdorin OpenSSL kanë cilësimet e protokollit Diffie-Hellman të vendosura në 2048 bit. Në parim, kjo është më se e mjaftueshme për të marrë një rezultat A+ në test nga Qualys SSL Labs. Megjithatë, nëse po përmirësoni nga versionet më të vjetra, cilësimet mund të jenë më të ulëta. Prandaj, rekomandohet që pas përfundimit të përditësimit, të ekzekutoni komandën zmdhparam set -new 2048, e cila do të rrisë parametrat e protokollit Diffie-Hellman në një 2048 bit të pranueshëm dhe nëse dëshironi, duke përdorur të njëjtën komandë, mund të rrisni vlera e parametrave në 3072 ose 4096 bit, gjë që nga njëra anë do të çojë në një rritje të kohës së gjenerimit, por nga ana tjetër do të ketë një efekt pozitiv në nivelin e sigurisë së serverit të postës.
2. Duke përfshirë një listë të rekomanduar të shifrave të përdorura
Si parazgjedhje, Zimbra Collaborataion Suite Edition me Burim të Hapur mbështet një gamë të gjerë shifruesish të fortë dhe të dobët, të cilët kodojnë të dhënat që kalojnë përmes një lidhjeje të sigurt. Sidoqoftë, përdorimi i shifrave të dobëta është një disavantazh serioz kur kontrolloni sigurinë e një lidhjeje SSL. Për të shmangur këtë, duhet të konfiguroni listën e shifrave të përdorura.
Për ta bërë këtë, përdorni komandën zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Kjo komandë përfshin menjëherë një grup shifrash të rekomanduara dhe falë saj, komanda mund të përfshijë menjëherë shifra të besueshme në listë dhe të përjashtojë ato jo të besueshme. Tani gjithçka që mbetet është të rinisni nyjet e anasjellta të përfaqësuesit duke përdorur komandën e rinisjes zmproxyctl. Pas një rindezjeje, ndryshimet e bëra do të hyjnë në fuqi.
Nëse kjo listë nuk ju përshtatet për një arsye ose një tjetër, mund të hiqni një numër shifrash të dobëta prej saj duke përdorur komandën zmprov mcf +zimbraSSLExcludeCipherSuites. Kështu, për shembull, komanda zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, e cila do të eliminojë plotësisht përdorimin e shifrave RC4. E njëjta gjë mund të bëhet me shifrat AES dhe 3DES.
3. Aktivizo HSTS
Mekanizmat e aktivizuar për të detyruar enkriptimin e lidhjes dhe rikuperimin e sesionit TLS kërkohen gjithashtu për të arritur një rezultat të përsosur në testin Qualys SSL Labs. Për t'i aktivizuar ato duhet të futni komandën zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Kjo komandë do të shtojë kokën e nevojshme në konfigurim dhe që cilësimet e reja të hyjnë në fuqi, do të duhet të rinisni Zimbra OSE duke përdorur komandën zmcontrol rinisni.
Tashmë në këtë fazë, testi nga Qualys SSL Labs do të tregojë një vlerësim A+, por nëse doni të përmirësoni më tej sigurinë e serverit tuaj, ka një sërë masash të tjera që mund të merrni.
Për shembull, mund të aktivizoni enkriptimin e detyruar të lidhjeve ndër-procesore dhe gjithashtu mund të aktivizoni enkriptimin e detyruar kur lidheni me shërbimet Zimbra OSE. Për të kontrolluar lidhjet ndërprocesore, futni komandat e mëposhtme:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePër të aktivizuar enkriptimin e detyruar, duhet të futni:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEFalë këtyre komandave, të gjitha lidhjet me serverët proxy dhe serverët e postës do të kodohen dhe të gjitha këto lidhje do të proxy.
Kështu, duke ndjekur rekomandimet tona, jo vetëm që mund të arrini rezultatin më të lartë në testin e sigurisë së lidhjes SSL, por gjithashtu të rrisni ndjeshëm sigurinë e të gjithë infrastrukturës Zimbra OSE.
Për të gjitha pyetjet në lidhje me Zextras Suite, mund të kontaktoni Përfaqësuesen e Zextras Ekaterina Triandafilidi me e-mail [email mbrojtur]
Burimi: www.habr.com