Снага енкрипције је један од најважнијих показатеља када се информациони системи користе за пословање, јер су свакодневно укључени у пренос огромне количине поверљивих информација. Општеприхваћено средство за процену квалитета ССЛ везе је независни тест од Куалис ССЛ Лабс. Пошто овај тест може да изводи било ко, посебно је важно да СааС провајдери добију највећи могући резултат на овом тесту. О квалитету ССЛ везе брину не само СааС провајдери, већ и обична предузећа. За њих је овај тест одлична прилика да идентификују потенцијалне рањивости и унапред затворе све рупе за сајбер криминалце.
Зимбра ОСЕ дозвољава две врсте ССЛ сертификата. Први је самопотписани сертификат који се аутоматски додаје током инсталације. Овај сертификат је бесплатан и нема временско ограничење, што га чини идеалним за тестирање Зимбра ОСЕ или коришћење искључиво унутар интерне мреже. Међутим, када се пријаве на веб клијент, корисници ће видети упозорење прегледача да овај сертификат није поуздан, а ваш сервер ће дефинитивно проћи тест од Куалис ССЛ Лабс.
Други је комерцијални ССЛ сертификат који је потписао ауторитет за сертификацију. Такве сертификате прегледачи лако прихватају и обично се користе за комерцијалну употребу Зимбра ОСЕ. Одмах након исправне инсталације комерцијалног сертификата, Зимбра ОСЕ 8.8.15 показује А резултат на тесту од Куалис ССЛ Лабс. Ово је одличан резултат, али наш циљ је да постигнемо А+ резултат.
Да бисте постигли максималан резултат на тесту од Куалис ССЛ Лабс када користите Зимбра Цоллаборатион Суите Опен-Соурце Едитион, морате да обавите неколико корака:
1. Повећање параметара Диффие-Хеллман протокола
Подразумевано, све компоненте Зимбра ОСЕ 8.8.15 које користе ОпенССЛ имају подешавања Диффие-Хеллман протокола постављена на 2048 бита. У принципу, ово је више него довољно да добијете А+ резултат на тесту од Куалис ССЛ Лабс. Међутим, ако вршите надоградњу са старијих верзија, подешавања могу бити нижа. Због тога се препоручује да након завршетка ажурирања покренете команду змдхпарам сет -нев 2048, која ће повећати параметре Диффие-Хеллман протокола на прихватљивих 2048 бита, а по жељи, користећи исту команду, можете повећати вредност параметара на 3072 или 4096 бита, што ће с једне стране довести до повећања времена генерисања, али ће са друге стране имати позитиван ефекат на ниво безбедности мејл сервера.
2. Укључујући препоручену листу коришћених шифри
Подразумевано, Зимбра Цоллаборатаион Суите Опен-Соурце Едитион подржава широк спектар јаких и слабих шифара, који шифрују податке који пролазе преко безбедне везе. Међутим, употреба слабих шифара је озбиљан недостатак приликом провере безбедности ССЛ везе. Да бисте то избегли, потребно је да конфигуришете листу коришћених шифара.
Да бисте то урадили, користите команду zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ова команда одмах укључује скуп препоручених шифара и захваљујући њој команда може одмах укључити поуздане шифре у листу и искључити непоуздане. Сада остаје само да поново покренете реверзне прокси чворове помоћу змпрокицтл команде рестарт. Након поновног покретања, измене ће ступити на снагу.
Ако вам ова листа из овог или оног разлога не одговара, можете са ње уклонити низ слабих шифри помоћу команде zmprov mcf +zimbraSSLExcludeCipherSuites. Тако, на пример, команда zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, што ће у потпуности елиминисати употребу РЦ4 шифара. Исто се може урадити са АЕС и 3ДЕС шифрама.
3. Омогућите ХСТС
Омогућени механизми за принудно шифровање везе и опоравак ТЛС сесије су такође потребни да би се постигао савршен резултат на Куалис ССЛ Лабс тесту. Да бисте их омогућили, морате унети команду zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ова команда ће додати потребно заглавље у конфигурацију, а да би нова подешавања ступила на снагу мораћете поново да покренете Зимбра ОСЕ користећи команду змцонтрол рестарт.
Већ у овој фази, тест из Куалис ССЛ Лабс ће показати оцену А+, али ако желите да додатно побољшате безбедност свог сервера, постоји низ других мера које можете предузети.
На пример, можете да омогућите принудно шифровање међупроцесних веза, а такође можете да омогућите принудно шифровање када се повезујете на Зимбра ОСЕ услуге. Да бисте проверили међупроцесне везе, унесите следеће команде:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueДа бисте омогућили принудно шифровање, унесите:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEЗахваљујући овим командама, све везе са прокси серверима и серверима поште биће шифроване, а све ове везе ће бити прокси.
Дакле, пратећи наше препоруке, не само да можете постићи највиши резултат у тесту безбедности ССЛ везе, већ и значајно повећати безбедност целе Зимбра ОСЕ инфраструктуре.
За сва питања у вези са Зектрас Суите-ом можете контактирати представницу Зектрас Екатерину Триандафилиди путем е-поште [емаил заштићен]
Извор: ввв.хабр.цом