Styrkan i krypteringen är en av de viktigaste indikatorerna när man använder informationssystem för företag, eftersom de varje dag är involverade i överföringen av en enorm mängd konfidentiell information. Ett allmänt accepterat sätt att bedöma kvaliteten på en SSL-anslutning är ett oberoende test från Qualys SSL Labs. Eftersom det här testet kan köras av vem som helst är det särskilt viktigt för SaaS-leverantörer att få högsta möjliga poäng på detta test. Inte bara SaaS-leverantörer utan även vanliga företag bryr sig om kvaliteten på SSL-anslutningen. För dem är detta test ett utmärkt tillfälle att identifiera potentiella sårbarheter och stänga alla kryphål för cyberbrottslingar i förväg.
Zimbra OSE tillåter två typer av SSL-certifikat. Det första är ett självsignerat certifikat som automatiskt läggs till under installationen. Detta certifikat är gratis och har ingen tidsbegränsning, vilket gör det idealiskt för att testa Zimbra OSE eller använda det uteslutande inom ett internt nätverk. Men när de loggar in på webbklienten kommer användare att se en varning från webbläsaren om att detta certifikat inte är betrodd, och din server kommer definitivt att misslyckas i testet från Qualys SSL Labs.
Det andra är ett kommersiellt SSL-certifikat signerat av en certifieringsmyndighet. Sådana certifikat accepteras lätt av webbläsare och används vanligtvis för kommersiell användning av Zimbra OSE. Omedelbart efter korrekt installation av det kommersiella certifikatet visar Zimbra OSE 8.8.15 ett A-poäng i testet från Qualys SSL Labs. Detta är ett utmärkt resultat, men vårt mål är att uppnå ett A+ resultat.
För att uppnå maximal poäng i testet från Qualys SSL Labs när du använder Zimbra Collaboration Suite Open-Source Edition måste du utföra ett antal steg:
1. Öka parametrarna för Diffie-Hellman-protokollet
Som standard har alla Zimbra OSE 8.8.15-komponenter som använder OpenSSL Diffie-Hellman-protokollinställningar inställda på 2048 bitar. I princip är detta mer än tillräckligt för att få A+-poäng i testet från Qualys SSL Labs. Men om du uppgraderar från äldre versioner kan inställningarna vara lägre. Därför rekommenderas det att efter att uppdateringen är klar kör kommandot zmdhparam set -new 2048, vilket kommer att öka parametrarna för Diffie-Hellman-protokollet till acceptabelt 2048 bitar, och om så önskas, med samma kommando, kan du öka värdet på parametrarna till 3072 eller 4096 bitar, vilket å ena sidan kommer att leda till en ökad genereringstid, men å andra sidan kommer att ha en positiv effekt på e-postserverns säkerhetsnivå.
2. Inklusive en rekommenderad lista över använda chiffer
Som standard stöder Zimbra Collaborataion Suite Open-Source Edition ett brett utbud av starka och svaga chiffer, som krypterar data som passerar över en säker anslutning. Användningen av svaga chiffer är dock en allvarlig nackdel när man kontrollerar säkerheten för en SSL-anslutning. För att undvika detta måste du konfigurera listan över använda chiffer.
För att göra detta, använd kommandot zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Detta kommando inkluderar omedelbart en uppsättning rekommenderade chiffer och tack vare det kan kommandot omedelbart inkludera tillförlitliga chiffer i listan och utesluta opålitliga. Nu återstår bara att starta om de omvända proxynoderna med hjälp av kommandot zmproxyctl omstart. Efter en omstart träder ändringarna i kraft.
Om den här listan inte passar dig av en eller annan anledning kan du ta bort ett antal svaga chiffer från den med kommandot zmprov mcf +zimbraSSLExcludeCipherSuites. Så till exempel kommandot zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, vilket helt kommer att eliminera användningen av RC4-chiffer. Detsamma kan göras med AES- och 3DES-chiffer.
3. Aktivera HSTS
Aktiverade mekanismer för att tvinga fram anslutningskryptering och TLS-sessionsåterställning krävs också för att uppnå ett perfekt resultat i Qualys SSL Labs-test. För att aktivera dem måste du ange kommandot zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Detta kommando kommer att lägga till den nödvändiga rubriken till konfigurationen, och för att de nya inställningarna ska träda i kraft måste du starta om Zimbra OSE med kommandot zmcontrol omstart.
Redan i detta skede kommer testet från Qualys SSL Labs att visa betyget A+, men om du vill förbättra säkerheten på din server ytterligare finns det en rad andra åtgärder du kan vidta.
Du kan till exempel aktivera påtvingad kryptering av anslutningar mellan processer, och du kan även aktivera påtvingad kryptering när du ansluter till Zimbra OSE-tjänster. För att kontrollera anslutningar mellan processer, skriv in följande kommandon:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueFör att aktivera påtvingad kryptering måste du ange:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETack vare dessa kommandon kommer alla anslutningar till proxyservrar och e-postservrar att krypteras, och alla dessa anslutningar kommer att vara proxyservrar.
Således, enligt våra rekommendationer, kan du inte bara uppnå det högsta betyget i SSL-anslutningssäkerhetstestet, utan också avsevärt öka säkerheten för hela Zimbra OSE-infrastrukturen.
För alla frågor relaterade till Zextras Suite kan du kontakta representanten för Zextras Ekaterina Triandafilidi via e-post [e-postskyddad]
Källa: will.com