Надійність шифрування є одним із найважливіших показників при використанні інформаційних систем для бізнесу, адже щодня вони беруть участь у передачі величезної кількості конфіденційної інформації. Загальноприйнятим засобом оцінки якості SSL є незалежний тест від Qualys SSL Labs. Оскільки цей тест може запустити будь-хто, для SaaS-провайдерів особливо важливо, щоб оцінка в цьому тесті була максимальною. Про якість SSL-з'єднання дбають не тільки SaaS-провайдери, а й звичайні підприємства. Для них цей тест є чудовою можливістю виявити потенційно вразливі місця та завчасно закрити всі лазівки для кіберзлочинців.
У Zimbra OSE можна використовувати два види SSL-сертифікатів. Перший — це самопідписаний сертифікат, який автоматично додається під час встановлення. Цей сертифікат безкоштовний і не обмежений за часом використання, а значить, ідеально підійде для тестування Zimbra OSE або її використання виключно в рамках внутрішньої мережі. Однак при вході в веб-клієнт користувачі будуть бачити попередження від браузера, що цей сертифікат ненадійний, і тест Qualys SSL Labs ваш сервер однозначно провалить.
Другий – це комерційний SSL-сертифікат, підписаний центром, що засвідчує. Такі сертифікати сприймаються без проблем браузерами і зазвичай використовуються при комерційній експлуатації Zimbra OSE. Відразу після коректної установки комерційного сертифіката Zimbra OSE 8.8.15 показує оцінку A у тесті Qualys SSL Labs. Це відмінний результат, але наша мета досягти результату A+.
Для того, щоб досягти максимальної оцінки у тесті від Qualys SSL Labs при використанні Zimbra Collaboration Suite Open-Source Edition, необхідно виконати ряд кроків:
1. Збільшення параметрів протоколу Діффі-Хеллмана
За промовчанням у всіх компонентах Zimbra OSE 8.8.15, які використовують OpenSSL, значення параметрів протоколу Діффі-Хеллмана становить 2048 біт. У принципі цього більш ніж достатньо для отримання оцінки А+ в тесті від Qualys SSL Labs. Однак, якщо ви оновлюєтеся з більш старих версій, значення параметрів може бути нижче. Тому рекомендується після завершення оновлення виконати команду zmdhparam set -new 2048, яка підвищить параметри протоколу Діффі-Хеллмана до прийнятних 2048 біт, а за бажання за допомогою цієї команди можна підвищити значення параметрів до 3072 або 4096 біт, що з одного боку приведе часу генерації, проте з іншого боку позитивно позначиться рівні безпеки поштового сервера.
2. Увімкнення рекомендованого списку використовуваних шифрів
За замовчуванням Zimbra Collaborataion Suite Open-Source Edition підтримує широкий спектр сильних і слабких шифрів, за допомогою яких шифруються дані, що проходять захищеним з'єднанням. Проте використання слабких шифрів є серйозним мінусом під час перевірки безпеки SSL-з'єднання. Для того, щоб цього уникнути, необхідно налаштувати список використовуваних шифрів.
Для цього слід скористатися командою zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
У цю команду одразу включено набір рекомендованих шифрів і завдяки їй команді можна одразу включити до списку надійні шифри та виключити ненадійні. Тепер залишається тільки перезавантажити вузли зі зворотним проксі за допомогою команди zmproxyctl restart. Після перезавантаження внесені зміни набудуть чинності.
У тому випадку, якщо цей список вас з тих чи інших причин не влаштовує, можна видалити ряд слабких шифрів за допомогою команди zmprov mcf +zimbraSSLExcludeCipherSuites. Так, наприклад, команда zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHAяка повністю виключить використання шифрів RC4. Також можна зробити і з шифрами AES і 3DES.
3. Увімкнення HSTS
Включені механізми примусового включення шифрування з'єднання та відновлення сеансу TLS є обов'язковими умовами для отримання вищого бала в тесті від Qualys SSL Labs. Для їх увімкнення необхідно ввести команду zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ця команда додасть необхідний заголовок у конфігурацію, а для набуття чинності нових налаштувань доведеться перезавантажити Zimbra OSE за допомогою команди zmcontrol restart.
Вже на цьому етапі тест від Qualys SSL Labs демонструватиме оцінку A+, проте якщо ви захочете додатково покращити безпеку вашого сервера, можна вжити ще ряд заходів.
Наприклад, можна ввімкнути примусове шифрування міжпроцесних з'єднань, а також увімкнути примусове шифрування під час підключення до служб Zimbra OSE. Для перевірки міжпроцесних з'єднань слід запровадити такі команди:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueДля включення примусового шифрування необхідно ввести:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEЗавдяки цим командам будуть шифруватися всі з'єднання з проксі-серверами та поштовими серверами, а також здійснюватиметься проксіювання всіх цих з'єднань.
Таким чином, дотримуючись наших рекомендацій, можна не тільки досягти найвищої оцінки в тесті на безпеку SSL-з'єднання, але й значно підвищити безпеку роботи всієї інфраструктури Zimbra OSE.
З усіх питань, пов'язаних з Zextras Suite ви можете звернутися до Представника компанії «Zextras» Катерини Тріандафіліді електронною поштою [захищено електронною поштою]
Джерело: habr.com