ความเข้มแข็งของการเข้ารหัสเป็นหนึ่งในตัวบ่งชี้ที่สำคัญที่สุดเมื่อใช้ระบบข้อมูลสำหรับธุรกิจ เนื่องจากทุกวันพวกเขามีส่วนร่วมในการถ่ายโอนข้อมูลที่เป็นความลับจำนวนมหาศาล วิธีที่ยอมรับโดยทั่วไปในการประเมินคุณภาพของการเชื่อมต่อ SSL คือการทดสอบอิสระจาก Qualys SSL Labs เนื่องจากใครๆ ก็ทำการทดสอบนี้ได้ จึงเป็นสิ่งสำคัญอย่างยิ่งสำหรับผู้ให้บริการ SaaS ที่จะต้องได้คะแนนสูงสุดในการทดสอบนี้ ไม่เพียงแต่ผู้ให้บริการ SaaS เท่านั้น แต่ยังรวมถึงองค์กรทั่วไปที่ให้ความสำคัญกับคุณภาพของการเชื่อมต่อ SSL ด้วย สำหรับพวกเขา การทดสอบนี้เป็นโอกาสที่ดีเยี่ยมในการระบุช่องโหว่ที่อาจเกิดขึ้นและปิดช่องโหว่ทั้งหมดสำหรับอาชญากรไซเบอร์ล่วงหน้า
Zimbra OSE อนุญาตให้ใช้ใบรับรอง SSL ได้สองประเภท ใบรับรองแรกคือใบรับรองที่ลงนามด้วยตนเองซึ่งจะถูกเพิ่มโดยอัตโนมัติระหว่างการติดตั้ง ใบรับรองนี้ฟรีและไม่มีการจำกัดเวลา ทำให้เหมาะสำหรับการทดสอบ Zimbra OSE หรือใช้งานเฉพาะภายในเครือข่ายภายในเท่านั้น อย่างไรก็ตาม เมื่อเข้าสู่ระบบเว็บไคลเอ็นต์ ผู้ใช้จะเห็นคำเตือนจากเบราว์เซอร์ว่าใบรับรองนี้ไม่น่าเชื่อถือ และเซิร์ฟเวอร์ของคุณจะไม่ผ่านการทดสอบจาก Qualys SSL Labs อย่างแน่นอน
อย่างที่สองคือใบรับรอง SSL เชิงพาณิชย์ที่ลงนามโดยหน่วยงานออกใบรับรอง เบราว์เซอร์ยอมรับใบรับรองดังกล่าวได้อย่างง่ายดาย และโดยปกติจะใช้สำหรับการใช้งาน Zimbra OSE ในเชิงพาณิชย์ ทันทีหลังจากการติดตั้งใบรับรองเชิงพาณิชย์อย่างถูกต้อง Zimbra OSE 8.8.15 จะแสดงคะแนน A ในการทดสอบจาก Qualys SSL Labs นี่เป็นผลลัพธ์ที่ยอดเยี่ยม แต่เป้าหมายของเราคือการบรรลุผล A+
เพื่อให้บรรลุคะแนนสูงสุดในการทดสอบจาก Qualys SSL Labs เมื่อใช้ Zimbra Collaboration Suite Open-Source Edition คุณต้องดำเนินการหลายขั้นตอน:
1. การเพิ่มพารามิเตอร์ของโปรโตคอล Diffie-Hellman
ตามค่าเริ่มต้น ส่วนประกอบ Zimbra OSE 8.8.15 ทั้งหมดที่ใช้ OpenSSL มีการตั้งค่าโปรโตคอล Diffie-Hellman ตั้งค่าไว้ที่ 2048 บิต โดยหลักการแล้ว นี่ถือว่ามากเกินพอที่จะได้คะแนน A+ ในการทดสอบจาก Qualys SSL Labs อย่างไรก็ตาม หากคุณอัปเกรดจากเวอร์ชันเก่า การตั้งค่าอาจลดลง ดังนั้นขอแนะนำให้หลังจากการอัปเดตเสร็จสิ้นให้รันคำสั่ง zmdhparam set -new 2048 ซึ่งจะเพิ่มพารามิเตอร์ของโปรโตคอล Diffie-Hellman เป็นบิต 2048 ที่ยอมรับได้และหากต้องการโดยใช้คำสั่งเดียวกันคุณสามารถเพิ่มได้ ค่าของพารามิเตอร์เป็น 3072 หรือ 4096 บิตซึ่งในด้านหนึ่งจะทำให้เวลาในการสร้างเพิ่มขึ้น แต่ในทางกลับกันจะมีผลในเชิงบวกต่อระดับความปลอดภัยของเมลเซิร์ฟเวอร์
2. รวมรายการรหัสที่แนะนำที่ใช้
ตามค่าเริ่มต้น Zimbra Collaborataion Suite Open-Source Edition รองรับการเข้ารหัสที่แข็งแกร่งและอ่อนแอที่หลากหลาย ซึ่งเข้ารหัสข้อมูลที่ส่งผ่านการเชื่อมต่อที่ปลอดภัย อย่างไรก็ตาม การใช้การเข้ารหัสที่ไม่รัดกุมถือเป็นข้อเสียร้ายแรงเมื่อตรวจสอบความปลอดภัยของการเชื่อมต่อ SSL เพื่อหลีกเลี่ยงปัญหานี้ คุณต้องกำหนดค่ารายการรหัสที่ใช้
เมื่อต้องการทำเช่นนี้ ให้ใช้คำสั่ง zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
คำสั่งนี้จะรวมชุดรหัสที่แนะนำทันที และด้วยเหตุนี้ คำสั่งจึงสามารถรวมรหัสที่เชื่อถือได้ในรายการได้ทันที และยกเว้นรหัสที่ไม่น่าเชื่อถือ ตอนนี้สิ่งที่เหลืออยู่คือการรีสตาร์ทโหนดพร็อกซีย้อนกลับโดยใช้คำสั่งรีสตาร์ท zmproxyctl หลังจากรีบูต การเปลี่ยนแปลงที่ทำจะมีผล
หากรายการนี้ไม่เหมาะกับคุณด้วยเหตุผลใดก็ตามคุณสามารถลบรหัสที่อ่อนแอจำนวนหนึ่งออกได้โดยใช้คำสั่ง zmprov mcf +zimbraSSLExcludeCipherSuites. เช่น คำสั่ง zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHAซึ่งจะกำจัดการใช้การเข้ารหัส RC4 โดยสิ้นเชิง เช่นเดียวกันนี้สามารถทำได้ด้วยการเข้ารหัส AES และ 3DES
3. เปิดใช้งาน HSTS
กลไกที่เปิดใช้งานเพื่อบังคับใช้การเข้ารหัสการเชื่อมต่อและการกู้คืนเซสชัน TLS จำเป็นเช่นกันเพื่อให้ได้คะแนนที่สมบูรณ์แบบในการทดสอบ Qualys SSL Labs หากต้องการเปิดใช้งานคุณต้องป้อนคำสั่ง zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". คำสั่งนี้จะเพิ่มส่วนหัวที่จำเป็นในการกำหนดค่า และเพื่อให้การตั้งค่าใหม่มีผล คุณจะต้องรีสตาร์ท Zimbra OSE โดยใช้คำสั่ง zmcontrol รีสตาร์ท.
ในขั้นตอนนี้ การทดสอบจาก Qualys SSL Labs จะแสดงคะแนน A+ แต่หากคุณต้องการปรับปรุงการรักษาความปลอดภัยของเซิร์ฟเวอร์ของคุณเพิ่มเติม ก็มีมาตรการอื่นๆ อีกหลายประการที่คุณสามารถทำได้
ตัวอย่างเช่น คุณสามารถเปิดใช้งานการเข้ารหัสแบบบังคับของการเชื่อมต่อระหว่างกระบวนการ และคุณยังสามารถเปิดใช้งานการเข้ารหัสแบบบังคับเมื่อเชื่อมต่อกับบริการ Zimbra OSE หากต้องการตรวจสอบการเชื่อมต่อระหว่างกระบวนการ ให้ป้อนคำสั่งต่อไปนี้:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueหากต้องการเปิดใช้งานการเข้ารหัสแบบบังคับ คุณต้องป้อน:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEด้วยคำสั่งเหล่านี้ การเชื่อมต่อกับพร็อกซีเซิร์ฟเวอร์และเมลเซิร์ฟเวอร์ทั้งหมดจะถูกเข้ารหัส และการเชื่อมต่อทั้งหมดเหล่านี้จะถูกพร็อกซี
ดังนั้น ตามคำแนะนำของเรา คุณไม่เพียงแต่จะได้รับคะแนนสูงสุดในการทดสอบความปลอดภัยในการเชื่อมต่อ SSL เท่านั้น แต่ยังเพิ่มความปลอดภัยของโครงสร้างพื้นฐาน Zimbra OSE ทั้งหมดอย่างมีนัยสำคัญอีกด้วย
สำหรับคำถามทั้งหมดที่เกี่ยวข้องกับ Zextras Suite คุณสามารถติดต่อตัวแทนของ Zextras Ekaterina Triandafilidi ทางอีเมล [ป้องกันอีเมล]
ที่มา: will.com