Shifrlashning kuchi biznes uchun axborot tizimlaridan foydalanishda eng muhim ko'rsatkichlardan biridir, chunki ular har kuni katta miqdordagi maxfiy ma'lumotlarni uzatishda ishtirok etadilar. SSL ulanish sifatini baholashning umumiy qabul qilingan usuli Qualys SSL Labs tomonidan mustaqil test hisoblanadi. Ushbu testni har kim o'tkazishi mumkinligi sababli, SaaS provayderlari uchun ushbu testda mumkin bo'lgan eng yuqori ballni olish juda muhimdir. Nafaqat SaaS provayderlari, balki oddiy korxonalar ham SSL ulanish sifati haqida qayg'uradilar. Ular uchun ushbu test potentsial zaifliklarni aniqlash va kiberjinoyatchilar uchun barcha bo'shliqlarni oldindan yopish uchun ajoyib imkoniyatdir.
Zimbra OSE ikki turdagi SSL sertifikatlariga ruxsat beradi. Birinchisi, o'rnatish vaqtida avtomatik ravishda qo'shiladigan o'z-o'zidan imzolangan sertifikat. Ushbu sertifikat bepul va vaqt chegarasi yo'q, bu Zimbra OSE ni sinab ko'rish yoki uni faqat ichki tarmoq ichida ishlatish uchun ideal qiladi. Biroq, veb-mijozga kirishda foydalanuvchilar brauzerdan ushbu sertifikat ishonchsizligi haqida ogohlantirishni ko'radi va sizning serveringiz Qualys SSL Labs sinovidan o'ta olmaydi.
Ikkinchisi, sertifikatlashtirish organi tomonidan imzolangan tijorat SSL sertifikatidir. Bunday sertifikatlar brauzerlar tomonidan osongina qabul qilinadi va odatda Zimbra OSE dan tijorat maqsadlarida foydalanish uchun ishlatiladi. Tijorat sertifikati to'g'ri o'rnatilgandan so'ng, Zimbra OSE 8.8.15 Qualys SSL Labs testida A ballini ko'rsatadi. Bu ajoyib natija, lekin bizning maqsadimiz A+ natijaga erishishdir.
Zimbra Collaboration Suite Open-Source Edition-dan foydalanganda Qualys SSL Labs testida maksimal ballga erishish uchun siz bir qator bosqichlarni bajarishingiz kerak:
1. Diffie-Hellman protokoli parametrlarini oshirish
Odatiy bo'lib, OpenSSL dan foydalanadigan barcha Zimbra OSE 8.8.15 komponentlarida Diffie-Hellman protokoli sozlamalari 2048 bitga o'rnatilgan. Aslida, bu Qualys SSL Labs testida A+ ball olish uchun yetarli. Biroq, agar siz eski versiyalardan yangilayotgan bo'lsangiz, sozlamalar pastroq bo'lishi mumkin. Shuning uchun, yangilash tugallangandan so'ng, Diffie-Hellman protokolining parametrlarini maqbul 2048 bitgacha oshiradigan zmdhparam set -new 2048 buyrug'ini bajarish tavsiya etiladi va agar xohlasangiz, xuddi shu buyruq yordamida siz oshirishingiz mumkin. parametrlarning qiymati 3072 yoki 4096 bitgacha, bu bir tomondan ishlab chiqarish vaqtini ko'paytirishga olib keladi, lekin boshqa tomondan pochta serverining xavfsizlik darajasiga ijobiy ta'sir qiladi.
2. Qo'llaniladigan shifrlarning tavsiya etilgan ro'yxatini o'z ichiga oladi
Odatiy bo'lib, Zimbra Collaborataion Suite Open-Source Edition xavfsiz ulanish orqali o'tadigan ma'lumotlarni shifrlaydigan kuchli va zaif shifrlarning keng doirasini qo'llab-quvvatlaydi. Biroq, zaif shifrlardan foydalanish SSL ulanishining xavfsizligini tekshirishda jiddiy kamchilikdir. Bunga yo'l qo'ymaslik uchun siz ishlatiladigan shifrlar ro'yxatini sozlashingiz kerak.
Buning uchun buyruqdan foydalaning zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ushbu buyruq darhol tavsiya etilgan shifrlar to'plamini o'z ichiga oladi va uning yordamida buyruq darhol ro'yxatga ishonchli shifrlarni kiritishi va ishonchsizlarini chiqarib tashlashi mumkin. Endi faqat zmproxyctl restart buyrug'i yordamida teskari proksi-server tugunlarini qayta ishga tushirish qoladi. Qayta ishga tushirilgandan so'ng, kiritilgan o'zgarishlar kuchga kiradi.
Agar biron sababga ko'ra ushbu ro'yxat sizga mos kelmasa, buyruq yordamida undan bir qator zaif shifrlarni olib tashlashingiz mumkin. zmprov mcf +zimbraSSLExcludeCipherSuites. Shunday qilib, masalan, buyruq zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, bu RC4 shifrlaridan foydalanishni butunlay yo'q qiladi. AES va 3DES shifrlari bilan ham xuddi shunday qilish mumkin.
3. HSTS ni yoqing
Qualys SSL Labs testida mukammal natijaga erishish uchun ulanishni shifrlashni va TLS seansini tiklashni majburlash uchun yoqilgan mexanizmlar ham talab qilinadi. Ularni yoqish uchun siz buyruqni kiritishingiz kerak zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ushbu buyruq konfiguratsiyaga kerakli sarlavhani qo'shadi va yangi sozlamalar kuchga kirishi uchun buyruq yordamida Zimbra OSE ni qayta ishga tushirishingiz kerak bo'ladi. zmcontrol-ni qayta ishga tushiring.
Ushbu bosqichda allaqachon Qualys SSL Labs testi A+ reytingini ko'rsatadi, ammo agar siz serveringiz xavfsizligini yanada yaxshilashni istasangiz, bir qator boshqa choralarni ko'rishingiz mumkin.
Masalan, siz jarayonlararo ulanishlarni majburiy shifrlashni yoqishingiz mumkin va Zimbra OSE xizmatlariga ulanishda ham majburiy shifrlashni yoqishingiz mumkin. Jarayonlararo ulanishlarni tekshirish uchun quyidagi buyruqlarni kiriting:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueMajburiy shifrlashni yoqish uchun quyidagilarni kiritishingiz kerak:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEUshbu buyruqlar tufayli proksi-serverlar va pochta serverlari bilan barcha ulanishlar shifrlanadi va bu ulanishlarning barchasi proksi-serverga ega bo'ladi.
Shunday qilib, bizning tavsiyalarimizdan so'ng siz nafaqat SSL ulanish xavfsizligi testida eng yuqori ballga erisha olasiz, balki butun Zimbra OSE infratuzilmasi xavfsizligini sezilarli darajada oshirasiz.
Zextras Suite bilan bog'liq barcha savollar uchun siz Zekstras vakili Yekaterina Triandafilidi bilan elektron pochta orqali bog'lanishingiz mumkin. [elektron pochta bilan himoyalangan]
Manba: www.habr.com