Kakuatan enkripsi mangrupikeun salah sahiji indikator anu paling penting nalika ngagunakeun sistem inpormasi pikeun bisnis, sabab unggal dinten aranjeunna aub dina mindahkeun inpormasi rahasia anu ageung. Cara anu ditarima sacara umum pikeun ngira-ngira kualitas sambungan SSL nyaéta tés mandiri ti Qualys SSL Labs. Kusabab tés ieu tiasa dijalankeun ku saha waé, penting pisan pikeun panyadia SaaS kéngingkeun skor anu paling luhur dina tés ieu. Henteu ngan ukur panyadia SaaS, tapi ogé perusahaan biasa paduli kualitas sambungan SSL. Pikeun aranjeunna, tés ieu mangrupikeun kasempetan anu saé pikeun ngaidentipikasi kerentanan poténsial sareng nutup sadaya celah pikeun cybercriminals sateuacanna.
Zimbra OSE ngamungkinkeun dua jinis sertipikat SSL. Anu kahiji nyaéta sertipikat anu ditandatanganan diri anu otomatis ditambah nalika instalasi. Sertipikat ieu gratis sareng teu aya watesna waktos, janten idéal pikeun nguji Zimbra OSE atanapi nganggo éta sacara éksklusif dina jaringan internal. Nanging, nalika asup kana klien wéb, pangguna bakal ningali peringatan ti browser yén sertipikat ieu henteu dipercaya, sareng server anjeun pasti bakal gagal ujian ti Qualys SSL Labs.
Anu kadua nyaéta sertipikat SSL komérsial anu ditandatanganan ku otoritas sertifikasi. Sertipikat sapertos gampang ditampi ku browser sareng biasana dianggo pikeun panggunaan komersil Zimbra OSE. Langsung saatos pamasangan anu leres tina sertipikat komérsial, Zimbra OSE 8.8.15 nunjukkeun skor A dina uji ti Qualys SSL Labs. Ieu mangrupikeun hasil anu saé, tapi tujuan urang nyaéta pikeun ngahontal hasil A+.
Pikeun ngahontal skor maksimal dina tés ti Qualys SSL Labs nalika nganggo Zimbra Collaboration Suite Open-Source Edition, anjeun kedah ngalengkepan sababaraha léngkah:
1. Ngaronjatkeun parameter tina protokol Diffie-Hellman
Sacara standar, sadaya komponén Zimbra OSE 8.8.15 anu nganggo OpenSSL gaduh setélan protokol Diffie-Hellman disetel ka 2048 bit. Sacara prinsip, ieu leuwih ti cukup pikeun meunangkeun skor A + dina tés ti Qualys SSL Labs. Nanging, upami anjeun ningkatkeun tina vérsi anu langkung lami, setélan tiasa langkung handap. Ku alatan éta, eta Dianjurkeun yén sanggeus update geus réngsé, ngajalankeun paréntah zmdhparam set -new 2048, nu bakal ningkatkeun parameter tina protokol Diffie-Hellman ka 2048 bit ditarima, sarta upami hoyong, ngagunakeun paréntah sarua, Anjeun bisa ningkatkeun. nilai parameter ka 3072 atawa 4096 bit, nu di hiji sisi bakal ngakibatkeun kanaékan waktu generasi, tapi di sisi séjén bakal boga pangaruh positif dina tingkat kaamanan tina server mail.
2. Kaasup daptar dianjurkeun ciphers dipaké
Sacara standar, Zimbra Collaborataion Suite Open-Source Edition ngadukung rupa-rupa cipher anu kuat sareng lemah, anu énkripsi data ngalangkungan sambungan anu aman. Sanajan kitu, pamakéan ciphers lemah téh disadvantage serius nalika mariksa kaamanan sambungan SSL. Pikeun ngahindarkeun ieu, anjeun kedah ngonpigurasikeun daptar cipher anu dianggo.
Jang ngalampahkeun ieu, nganggo paréntah zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Paréntah ieu langsung kalebet sakumpulan cipher anu disarankeun sareng hatur nuhun kana éta, paréntah tiasa langsung ngalebetkeun cipher anu dipercaya dina daptar sareng ngaluarkeun anu teu dipercaya. Ayeuna sadayana anu tetep nyaéta ngabalikan deui titik proxy sabalikna nganggo paréntah zmproxyctl restart. Saatos reboot, parobihan anu dilakukeun bakal dianggo.
Upami daptar ieu henteu cocog sareng anjeun kusabab hiji alesan atanapi anu sanés, anjeun tiasa ngahapus sababaraha ciphers anu lemah tina éta nganggo paréntah. zmprov mcf +zimbraSSLExcludeCipherSuites. Ku kituna, contona, paréntah zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, nu sagemblengna bakal ngaleungitkeun pamakéan ciphers RC4. Hal anu sami tiasa dilakukeun sareng cipher AES sareng 3DES.
3. Aktipkeun HSTS
Mékanisme anu diaktipkeun pikeun maksakeun énkripsi sambungan sareng pamulihan sési TLS ogé diperyogikeun pikeun ngahontal skor anu sampurna dina uji Qualys SSL Labs. Pikeun ngaktipkeun aranjeunna anjeun kudu ngasupkeun paréntah zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Paréntah ieu bakal nambihan lulugu anu dipikabutuh pikeun konfigurasi, sareng supados setélan énggal tiasa dianggo anjeun kedah ngabalikan deui Zimbra OSE nganggo paréntah. zmcontrol balikan deui.
Parantos dina tahap ieu, tés ti Qualys SSL Labs bakal nunjukkeun rating A +, tapi upami anjeun hoyong ningkatkeun kaamanan server anjeun, aya sababaraha ukuran anu anjeun tiasa laksanakeun.
Salaku conto, anjeun tiasa ngaktipkeun enkripsi paksa sambungan antar-prosés, sareng anjeun ogé tiasa ngaktipkeun enkripsi paksa nalika nyambung ka jasa Zimbra OSE. Pikeun mariksa sambungan interprocess, lebetkeun paréntah di handap ieu:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePikeun ngaktipkeun enkripsi paksa anjeun kedah ngalebetkeun:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEHatur nuhun kana paréntah ieu, sadaya sambungan ka server proxy sareng server mail bakal énkripsi, sareng sadaya sambungan ieu bakal diproksi.
Ku kituna, nuturkeun saran kami, anjeun teu ngan bisa ngahontal skor pangluhurna dina test kaamanan sambungan SSL, tapi ogé nyata ngaronjatkeun kaamanan sakabéh infrastruktur Zimbra OSE.
Kanggo sadaya patarosan anu aya hubunganana sareng Zextras Suite, anjeun tiasa ngahubungi Perwakilan Zextras Ekaterina Triandafilidi ku email. [email dijaga]
sumber: www.habr.com