Nguvu ya encryption ni moja ya viashiria muhimu zaidi wakati wa kutumia mifumo ya habari kwa biashara, kwa sababu kila siku wanahusika katika uhamisho wa kiasi kikubwa cha habari za siri. Njia inayokubalika kwa jumla ya kutathmini ubora wa muunganisho wa SSL ni jaribio huru kutoka kwa Maabara ya Qualys SSL. Kwa kuwa jaribio hili linaweza kuendeshwa na mtu yeyote, ni muhimu hasa kwa watoa huduma wa SaaS kupata alama za juu zaidi kwenye jaribio hili. Sio tu watoa huduma wa SaaS, lakini pia makampuni ya biashara ya kawaida yanajali ubora wa muunganisho wa SSL. Kwao, jaribio hili ni fursa nzuri ya kutambua udhaifu unaowezekana na kufunga mianya yote ya wahalifu wa mtandao mapema.
Zimbra OSE inaruhusu aina mbili za vyeti vya SSL. Ya kwanza ni cheti cha kujiandikisha ambacho huongezwa kiotomatiki wakati wa usakinishaji. Cheti hiki hakilipishwi na hakina kikomo cha muda, na kukifanya kiwe bora kwa kujaribu Zimbra OSE au kukitumia ndani ya mtandao wa ndani pekee. Hata hivyo, wakati wa kuingia kwenye mteja wa wavuti, watumiaji wataona onyo kutoka kwa kivinjari kwamba cheti hiki hakiaminiki, na seva yako hakika itafeli majaribio kutoka kwa Qualys SSL Labs.
Ya pili ni cheti cha kibiashara cha SSL kilichotiwa saini na mamlaka ya uidhinishaji. Vyeti kama hivyo vinakubaliwa kwa urahisi na vivinjari na kwa kawaida hutumiwa kwa matumizi ya kibiashara ya Zimbra OSE. Mara tu baada ya usakinishaji sahihi wa cheti cha kibiashara, Zimbra OSE 8.8.15 inaonyesha alama A katika jaribio kutoka kwa Qualys SSL Labs. Haya ni matokeo bora, lakini lengo letu ni kufikia matokeo ya A+.
Ili kupata alama ya juu zaidi katika jaribio kutoka kwa Maabara ya Qualys SSL unapotumia Toleo Huria la Chanzo cha Zimbra Collaboration Suite, lazima ukamilishe hatua kadhaa:
1. Kuongeza vigezo vya itifaki ya Diffie-Hellman
Kwa chaguo-msingi, vipengele vyote vya Zimbra OSE 8.8.15 vinavyotumia OpenSSL vina mipangilio ya itifaki ya Diffie-Hellman iliyowekwa kuwa biti 2048. Kimsingi, hii inatosha zaidi kupata alama ya A+ kwenye jaribio kutoka kwa Qualys SSL Labs. Hata hivyo, ikiwa unasasisha kutoka kwa matoleo ya zamani, mipangilio inaweza kuwa ya chini. Kwa hivyo, inashauriwa kuwa baada ya sasisho kukamilika, endesha amri zmdhparam set -new 2048, ambayo itaongeza vigezo vya itifaki ya Diffie-Hellman kwa bits 2048 zinazokubalika, na ikiwa inataka, kwa kutumia amri hiyo hiyo, unaweza kuongeza. thamani ya vigezo kwa bits 3072 au 4096, ambayo kwa upande mmoja itasababisha ongezeko la muda wa kizazi, lakini kwa upande mwingine itakuwa na athari nzuri kwenye kiwango cha usalama cha seva ya barua.
2. Ikiwa ni pamoja na orodha iliyopendekezwa ya ciphers kutumika
Kwa chaguomsingi, Toleo la Chanzo Huria la Zimbra Collaborataion Suite huauni aina mbalimbali za misimbo imara na dhaifu, ambayo husimba kwa njia fiche data inayopita kwenye muunganisho salama. Hata hivyo, matumizi ya misimbo dhaifu ni hasara kubwa wakati wa kuangalia usalama wa muunganisho wa SSL. Ili kuepuka hili, unahitaji kusanidi orodha ya ciphers kutumika.
Ili kufanya hivyo, tumia amri zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Amri hii mara moja inajumuisha seti ya misimbo iliyopendekezwa na shukrani kwake, amri inaweza kujumuisha mara moja nambari za kuaminika kwenye orodha na kuwatenga zisizoaminika. Sasa kilichobaki ni kuanzisha upya nodi za wakala wa nyuma kwa kutumia zmproxyctl amri ya kuanzisha upya. Baada ya kuwasha upya, mabadiliko yaliyofanywa yataanza kutumika.
Ikiwa orodha hii haikubaliani na wewe kwa sababu moja au nyingine, unaweza kuondoa nambari kadhaa dhaifu kutoka kwayo kwa kutumia amri. zmprov mcf +zimbraSSLExcludeCipherSuites. Kwa hivyo, kwa mfano, amri zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ambayo itaondoa kabisa matumizi ya ciphers RC4. Vile vile vinaweza kufanywa na misimbo ya AES na 3DES.
3. Wezesha HSTS
Mbinu zilizowashwa za kulazimisha usimbaji fiche wa muunganisho na urejeshaji wa kipindi cha TLS pia zinahitajika ili kupata alama kamili katika jaribio la Qualys SSL Labs. Ili kuwawezesha lazima uweke amri zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Amri hii itaongeza kichwa kinachohitajika kwenye usanidi, na ili mipangilio mipya ianze itabidi uanze tena Zimbra OSE kwa kutumia amri. zmcontrol kuanzisha upya.
Tayari katika hatua hii, jaribio kutoka kwa Qualys SSL Labs litaonyesha ukadiriaji wa A+, lakini ikiwa ungependa kuboresha zaidi usalama wa seva yako, kuna hatua nyingine kadhaa unazoweza kuchukua.
Kwa mfano, unaweza kuwezesha usimbaji fiche wa kulazimishwa wa miunganisho baina ya mchakato, na unaweza pia kuwezesha usimbaji fiche wa kulazimishwa wakati wa kuunganisha kwenye huduma za Zimbra OSE. Ili kuangalia miunganisho ya kuingiliana, ingiza amri zifuatazo:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueIli kuwezesha usimbaji fiche wa kulazimishwa unahitaji kuingiza:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEShukrani kwa amri hizi, miunganisho yote kwa seva mbadala na seva za barua itasimbwa kwa njia fiche, na miunganisho hii yote itafanywa seva mbadala.
Kwa hivyo, kufuata mapendekezo yetu, huwezi kufikia alama ya juu zaidi katika mtihani wa usalama wa uunganisho wa SSL, lakini pia kuongeza kwa kiasi kikubwa usalama wa miundombinu yote ya Zimbra OSE.
Kwa maswali yote yanayohusiana na Zextras Suite, unaweza kuwasiliana na Mwakilishi wa Zextras Ekaterina Triandafilidi kwa barua pepe. [barua pepe inalindwa]
Chanzo: mapenzi.com