加密強度是資訊系統用於業務時最重要的指標之一,因為每天都涉及大量機密資訊的傳輸。 評估 SSL 連接品質的一種普遍接受的方法是 Qualys SSL 實驗室的獨立測試。 由於任何人都可以運行此測試,因此對於 SaaS 提供者來說,在此測試中獲得盡可能高的分數尤其重要。 不僅是SaaS供應商,一般企業也關心SSL連線的品質。 對他們來說,這次測試是識別潛在漏洞並提前堵住網路犯罪分子所有漏洞的絕佳機會。
Zimbra OSE 允許兩種類型的 SSL 憑證。 第一個是在安裝過程中自動新增的自簽名憑證。 此證書免費且沒有時間限制,非常適合測試 Zimbra OSE 或僅在內部網路中使用它。 但是,當登入 Web 用戶端時,使用者會在瀏覽器中看到此憑證不受信任的警告,而您的伺服器肯定無法通過 Qualys SSL Labs 的測試。
第二種是由認證機構簽署的商業 SSL 憑證。 此類憑證很容易被瀏覽器接受,通常用於 Zimbra OSE 的商業用途。 正確安裝商業憑證後,Zimbra OSE 8.8.15 在 Qualys SSL Labs 的測驗中顯示出 A 分數。 這是一個很好的結果,但我們的目標是達到 A+ 的結果。
為了在使用 Zimbra Collaboration Suite 開源版時在 Qualys SSL Labs 的測試中獲得最高分,您必須完成多個步驟:
1.增加Diffie-Hellman協定的參數
預設情況下,所有使用 OpenSSL 的 Zimbra OSE 8.8.15 元件都將 Diffie-Hellman 協定設定設為 2048 位元。 原則上,這足以在 Qualys SSL Labs 的測試中獲得 A+ 分數。 但是,如果您從舊版本升級,設定可能會較低。 因此,建議更新完成後,執行命令 zmdhparam set -new 2048,這會將 Diffie-Hellman 協定的參數增加到可接受的 2048 位,如果需要,使用相同的命令,可以增加將參數的值設為3072或4096位,這一方面會導致生成時間的增加,但另一方面會對郵件伺服器的安全等級產生正面的影響。
2. 包括建議使用的密碼列表
預設情況下,Zimbra Collaborataion Suite 開源版支援各種強密碼和弱密碼,這些密碼可對透過安全連線傳遞的資料進行加密。 然而,在檢查 SSL 連線的安全性時,使用弱密碼是一個嚴重的缺點。 為了避免這種情況,您需要設定所使用的密碼清單。
為此,請使用命令 zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
該命令立即包含一組建議的密碼,並且由於它,該命令可以立即在清單中包含可靠的密碼並排除不可靠的密碼。 現在剩下的就是使用 zmproxyctl restart 指令重新啟動反向代理節點。 重新啟動後,所做的變更將生效。
如果由於某種原因此列表不適合您,您可以使用以下命令從中刪除一些弱密碼 zmprov mcf +zimbraSSLExcludeCipherSuites。 因此,例如,命令 zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA,這將完全消除 RC4 密碼的使用。 使用 AES 和 3DES 密碼也可以完成相同的操作。
3.啟用HSTS
為了在 Qualys SSL 實驗室測試中獲得滿分,還需要啟用強制連線加密和 TLS 會話復原的機制。 要啟用它們,您必須輸入命令 zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"。 此命令會將必要的標頭新增至設定中,為了讓新設定生效,您必須使用下列指令重新啟動 Zimbra OSE zmcontrol重啟.
在此階段,Qualys SSL Labs 的測試將顯示 A+ 評級,但如果您想進一步提高伺服器的安全性,您還可以採取許多其他措施。
例如,您可以啟用進程間連線的強制加密,也可以在連線到 Zimbra OSE 服務時啟用強制加密。 若要檢查進程間連接,請輸入以下命令:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true要啟用強制加密,您需要輸入:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE由於這些命令,與代理伺服器和郵件伺服器的所有連線都將被加密,並且所有這些連線都將被代理。
因此,請遵循我們的建議,您不僅可以在 SSL 連線安全測試中獲得最高分,還可以顯著提高整個 Zimbra OSE 基礎架構的安全性。
對於與 Zextras Suite 相關的所有問題,您可以通過電子郵件聯繫 Zextras 代表 Ekaterina Triandafilidi [電子郵件保護]
來源: www.habr.com