Ang lakas ng pag-encrypt ay isa sa pinakamahalagang tagapagpahiwatig kapag gumagamit ng mga sistema ng impormasyon para sa negosyo, dahil araw-araw sila ay kasangkot sa paglipat ng isang malaking halaga ng kumpidensyal na impormasyon. Ang isang pangkalahatang tinatanggap na paraan ng pagtatasa ng kalidad ng isang koneksyon sa SSL ay isang independiyenteng pagsubok mula sa Qualys SSL Labs. Dahil ang pagsusulit na ito ay maaaring patakbuhin ng sinuman, ito ay lalong mahalaga para sa mga tagapagbigay ng SaaS na makuha ang pinakamataas na posibleng marka sa pagsusulit na ito. Hindi lamang mga tagapagbigay ng SaaS, kundi pati na rin ang mga ordinaryong negosyo ay nagmamalasakit sa kalidad ng koneksyon sa SSL. Para sa kanila, ang pagsubok na ito ay isang mahusay na pagkakataon upang matukoy ang mga potensyal na kahinaan at isara ang lahat ng mga butas para sa mga cybercriminal nang maaga.
Pinapayagan ng Zimbra OSE ang dalawang uri ng mga SSL certificate. Ang una ay isang self-sign na sertipiko na awtomatikong idinagdag sa panahon ng pag-install. Ang sertipiko na ito ay libre at walang limitasyon sa oras, na ginagawa itong perpekto para sa pagsubok ng Zimbra OSE o paggamit nito nang eksklusibo sa loob ng isang panloob na network. Gayunpaman, kapag nagla-log in sa web client, makakakita ang mga user ng babala mula sa browser na ang certificate na ito ay hindi pinagkakatiwalaan, at tiyak na mabibigo ang iyong server sa pagsubok mula sa Qualys SSL Labs.
Ang pangalawa ay isang komersyal na SSL certificate na nilagdaan ng isang awtoridad sa sertipikasyon. Ang mga naturang sertipiko ay madaling tinatanggap ng mga browser at kadalasang ginagamit para sa komersyal na paggamit ng Zimbra OSE. Kaagad pagkatapos ng tamang pag-install ng commercial certificate, ang Zimbra OSE 8.8.15 ay nagpapakita ng A score sa pagsusulit mula sa Qualys SSL Labs. Ito ay isang mahusay na resulta, ngunit ang aming layunin ay upang makamit ang isang A+ na resulta.
Upang makamit ang pinakamataas na marka sa pagsusulit mula sa Qualys SSL Labs kapag gumagamit ng Zimbra Collaboration Suite Open-Source Edition, kailangan mong kumpletuhin ang ilang hakbang:
1. Pagdaragdag ng mga parameter ng Diffie-Hellman protocol
Bilang default, ang lahat ng bahagi ng Zimbra OSE 8.8.15 na gumagamit ng OpenSSL ay may mga setting ng protocol ng Diffie-Hellman na nakatakda sa 2048 bits. Sa prinsipyo, ito ay higit pa sa sapat upang makakuha ng A+ na marka sa pagsusulit mula sa Qualys SSL Labs. Gayunpaman, kung nag-a-upgrade ka mula sa mga mas lumang bersyon, maaaring mas mababa ang mga setting. Samakatuwid, inirerekomenda na pagkatapos makumpleto ang pag-update, patakbuhin ang command na zmdhparam set -new 2048, na magpapataas ng mga parameter ng Diffie-Hellman protocol sa isang katanggap-tanggap na 2048 bits, at kung ninanais, gamit ang parehong command, maaari mong dagdagan ang halaga ng mga parameter sa 3072 o 4096 bits, na sa isang banda ay hahantong sa pagtaas ng oras ng henerasyon, ngunit sa kabilang banda ay magkakaroon ng positibong epekto sa antas ng seguridad ng mail server.
2. Kabilang ang isang inirerekomendang listahan ng mga cipher na ginamit
Bilang default, sinusuportahan ng Zimbra Collaborataion Suite Open-Source Edition ang malawak na hanay ng malakas at mahinang mga cipher, na nag-e-encrypt ng data na dumadaan sa isang secure na koneksyon. Gayunpaman, ang paggamit ng mga mahinang cipher ay isang malubhang kawalan kapag sinusuri ang seguridad ng isang koneksyon sa SSL. Upang maiwasan ito, kailangan mong i-configure ang listahan ng mga cipher na ginamit.
Upang gawin ito, gamitin ang utos zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ang utos na ito ay agad na nagsasama ng isang hanay ng mga inirerekomendang cipher at salamat dito, ang utos ay maaaring agad na magsama ng mga maaasahang cipher sa listahan at ibukod ang mga hindi mapagkakatiwalaan. Ngayon ang natitira na lang ay i-restart ang reverse proxy node gamit ang zmproxyctl restart command. Pagkatapos ng reboot, magkakabisa ang mga pagbabagong ginawa.
Kung ang listahang ito ay hindi angkop sa iyo para sa isang kadahilanan o iba pa, maaari mong alisin ang isang bilang ng mga mahinang cipher mula dito gamit ang command zmprov mcf +zimbraSSLExcludeCipherSuites. Kaya, halimbawa, ang utos zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, na ganap na aalisin ang paggamit ng RC4 ciphers. Ang parehong ay maaaring gawin sa AES at 3DES ciphers.
3. Paganahin ang HSTS
Ang mga naka-enable na mekanismo upang pilitin ang pag-encrypt ng koneksyon at pagbawi ng session ng TLS ay kinakailangan din upang makamit ang perpektong marka sa pagsusulit ng Qualys SSL Labs. Upang paganahin ang mga ito kailangan mong ipasok ang utos zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Idaragdag ng command na ito ang kinakailangang header sa configuration, at para magkabisa ang mga bagong setting kailangan mong i-restart ang Zimbra OSE gamit ang command. i-restart ang zmcontrol.
Nasa yugto na ito, ang pagsubok mula sa Qualys SSL Labs ay magpapakita ng A+ na rating, ngunit kung gusto mong pahusayin pa ang seguridad ng iyong server, may ilang iba pang mga hakbang na maaari mong gawin.
Halimbawa, maaari mong paganahin ang sapilitang pag-encrypt ng mga inter-process na koneksyon, at maaari mo ring paganahin ang sapilitang pag-encrypt kapag kumokonekta sa mga serbisyo ng Zimbra OSE. Upang suriin ang mga interprocess na koneksyon, ilagay ang mga sumusunod na command:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueUpang paganahin ang sapilitang pag-encrypt kailangan mong ilagay ang:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUESalamat sa mga utos na ito, ang lahat ng koneksyon sa mga proxy server at mail server ay mai-encrypt, at lahat ng mga koneksyon na ito ay ma-proxy.
Kaya, kasunod ng aming mga rekomendasyon, hindi mo lamang makakamit ang pinakamataas na marka sa pagsubok sa seguridad ng koneksyon sa SSL, ngunit makabuluhang taasan din ang seguridad ng buong imprastraktura ng Zimbra OSE.
Para sa lahat ng tanong na may kaugnayan sa Zextras Suite, maaari kang makipag-ugnayan kay Zextras Representative Ekaterina Triandafilidi sa pamamagitan ng email [protektado ng email]
Pinagmulan: www.habr.com