Қувваи рамзгузорӣ яке аз нишондиҳандаҳои муҳимтарин ҳангоми истифодаи системаҳои иттилоотӣ барои тиҷорат мебошад, зеро ҳар рӯз онҳо дар интиқоли миқдори зиёди маълумоти махфӣ иштирок мекунанд. Воситаи маъмулан қабулшудаи арзёбии сифати пайвасти SSL санҷиши мустақил аз Qualys SSL Labs мебошад. Азбаски ин санҷишро ҳама метавонад иҷро кунад, барои провайдерҳои SaaS барои гирифтани холҳои баландтарин дар ин санҷиш муҳим аст. На танҳо провайдерҳои SaaS, балки корхонаҳои оддӣ низ ба сифати пайвасти SSL ғамхорӣ мекунанд. Барои онҳо, ин санҷиш як имконияти олиҷаноб барои муайян кардани осебпазирии эҳтимолӣ ва бастани ҳама камбудиҳои киберҷинояткорон мебошад.
Zimbra OSE ба ду намуди сертификатҳои SSL иҷозат медиҳад. Аввалин шаҳодатномаи худ имзошудаест, ки ҳангоми насб ба таври худкор илова карда мешавад. Ин сертификат ройгон аст ва маҳдудияти вақт надорад, ки онро барои санҷиши Zimbra OSE ё истифодаи он танҳо дар дохили шабакаи дохилӣ беҳтарин мекунад. Аммо, ҳангоми ворид шудан ба муштарии веб, корбарон аз браузер огоҳӣ хоҳанд дид, ки ин сертификат эътимоднок аст ва сервери шумо бешубҳа аз озмоиши Qualys SSL Labs ноком мешавад.
Дуюм сертификати тиҷоратии SSL мебошад, ки аз ҷониби мақомоти сертификатсия имзо шудааст. Чунин сертификатҳо аз ҷониби браузерҳо ба осонӣ қабул карда мешаванд ва одатан барои истифодаи тиҷоратии Zimbra OSE истифода мешаванд. Дарҳол пас аз насби дурусти шаҳодатномаи тиҷоратӣ, Zimbra OSE 8.8.15 дар санҷиш аз Qualys SSL Labs баҳои A нишон медиҳад. Ин натиҷаи аъло аст, аммо ҳадафи мо ба даст овардани натиҷаи A+ аст.
Барои ба даст овардани холҳои максималӣ дар санҷиш аз Qualys SSL Labs ҳангоми истифодаи Zimbra Collaboration Suite Open-Source Edition, шумо бояд як қатор қадамҳоро иҷро кунед:
1. Зиёд кардани параметрҳои протоколи Диффи-Хелман
Бо нобаёнӣ, ҳама ҷузъҳои Zimbra OSE 8.8.15, ки OpenSSL-ро истифода мебаранд, танзимоти протоколи Diffie-Hellman ба 2048 бит муқаррар карда шудаанд. Аслан, ин барои гирифтани холҳои A+ дар санҷиш аз Qualys SSL Labs кифоя аст. Аммо, агар шумо аз версияҳои кӯҳна навсозӣ кунед, танзимотҳо метавонанд пасттар бошанд. Аз ин рӯ, тавсия дода мешавад, ки пас аз ба итмом расидани навсозӣ фармони zmdhparam set -new 2048 -ро иҷро кунед, ки параметрҳои протоколи Диффи-Хелманро ба 2048 битҳои қобили қабул зиёд мекунад ва агар хоҳед, бо истифода аз ҳамон фармон, шумо метавонед онро зиёд кунед. арзиши параметрҳо то 3072 ё 4096 бит аст, ки ин аз як тараф боиси зиёд шудани вақти тавлид мешавад, аммо аз тарафи дигар ба сатҳи амнияти сервери почта таъсири мусбат мерасонад.
2. Аз ҷумла рӯйхати тавсияшудаи рамзҳои истифодашуда
Бо нобаёнӣ, Zimbra Collaborataion Suite Open-Source Edition доираи васеи рамзҳои қавӣ ва заифро дастгирӣ мекунад, ки маълумотро аз пайвасти бехатар мегузаранд. Бо вуҷуди ин, истифодаи рамзҳои заиф як камбудии ҷиддӣ ҳангоми тафтиши амнияти пайвасти SSL мебошад. Барои пешгирӣ кардани ин, шумо бояд рӯйхати рамзҳои истифодашударо танзим кунед.
Барои ин, фармонро истифода баред zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ин фармон фавран маҷмӯи рамзҳои тавсияшударо дар бар мегирад ва ба шарофати он фармон метавонад фавран рамзҳои боэътимодро ба рӯйхат дохил кунад ва рамзҳои беэътимодро истисно кунад. Ҳоло танҳо он боқӣ мемонад, ки бо истифода аз фармони zmproxyctl restart гиреҳҳои баръакси проксиро бозоғоз намоед. Пас аз бозоғозӣ, тағиротҳои воридшуда эътибор пайдо мекунанд.
Агар ин рӯйхат бо ин ё он сабаб ба шумо мувофиқ наояд, шумо метавонед бо истифода аз фармон як қатор рамзҳои заифро аз он хориҷ кунед. zmprov mcf +zimbraSSLExcludeCipherSuites. Ҳамин тавр, масалан, фармон zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ки истифодаи шифрҳои RC4-ро комилан аз байн мебарад. Ҳамин корро бо рамзҳои AES ва 3DES кардан мумкин аст.
3. HSTS-ро фаъол созед
Механизмҳои фаъолшуда барои маҷбур кардани рамзгузории пайвастшавӣ ва барқарорсозии сессияи TLS низ барои ба даст овардани хол дар санҷиши Qualys SSL Labs талаб карда мешаванд. Барои фаъол кардани онҳо шумо бояд фармонро ворид кунед zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ин фармон сарлавҳаи заруриро ба конфигуратсия илова мекунад ва барои эътибор пайдо кардани танзимоти нав шумо бояд Zimbra OSE-ро бо истифода аз фармон бозоғоз намоед. zmcontrol аз нав оғоз кунед.
Аллакай дар ин марҳила, санҷиш аз Qualys SSL Labs рейтинги A+-ро нишон медиҳад, аммо агар шумо хоҳед, ки амнияти сервери худро минбаъд беҳтар созед, як қатор чораҳои дигаре мавҷуданд, ки шумо метавонед андешед.
Масалан, шумо метавонед рамзгузории маҷбурии пайвастҳои байнипротсессиро фаъол созед ва инчунин ҳангоми пайвастшавӣ ба хидматҳои Zimbra OSE рамзгузории маҷбуриро фаъол созед. Барои санҷидани пайвастҳои байнипротсессионӣ, фармонҳои зеринро ворид кунед:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueБарои фаъол кардани рамзгузории маҷбурӣ шумо бояд ворид кунед:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEБа шарофати ин фармонҳо, ҳама пайвастҳо ба серверҳои прокси ва серверҳои почта рамзгузорӣ карда мешаванд ва ҳамаи ин пайвастҳо прокси-сервер мешаванд.
Ҳамин тариқ, пас аз тавсияҳои мо, шумо метавонед на танҳо ба холҳои баландтарин дар санҷиши амнияти пайвасти SSL ноил шавед, балки инчунин амнияти тамоми инфрасохтори Zimbra OSE-ро ба таври назаррас афзоиш диҳед.
Барои ҳама саволҳои марбут ба Zextras Suite, шумо метавонед бо Намояндаи Zextras Екатерина Триандафилиди тавассути почтаи электронӣ тамос гиред. [почтаи электронӣ ҳифз карда шудааст]
Манбаъ: will.com