SSL configuratie in Zimbra verbeteren

Waarom is SSL belangrijk voor Zimbra

SSL en TLS zijn afspraken (protocollen) op internet die ervoor moeten zorgen dat communicatie op een veilige manier gebeurt. Het zijn deze protocollen die de beveiliging regelen van de websites die je bezoekt, het online bankieren beveiligen en er voor zorgen dat anderen niet mee kunnen kijken als je je e-mail leest.

Wat is er mis met SSL?

In 2015 (en daarvoor) zijn een aantal zwakheden ontdekt in de manier waarop SSL/TLS gebruikt kan worden. Hierdoor is het mogelijk voor hackers om mee te kunnen kijken terwijl jij denkt via een veilige verbinding je mail te lezen. Gelukkig heeft men bij het ontwikkelen van SSL er rekening mee gehouden dat de versleuteling wel eens achterhaald kan worden. Tegenwoordig is de versleuteling via SSL dan ook veel beter dan die van een paar jaar geleden. Om echter oudere software ook te ondersteunen zijn de verouderde SSL technieken echter ook nog actief. Dit kan door hackers misbruikt worden.

Je kunt op Qualys SSL LABS zien of jouw server goed ingesteld is.

sslrating

Kan ik het probleem binnen Zimbra zelf oplossen?

Je kunt de SSL instellingen niet aanpassen via de admin interface van zimbra. Je zult die via de commando console moeten doen door een aantal commando's in te tikken. Deze commando's verschillen iets per situatie, maar als je vaker met Linux gewerkt hebt zou je met het onderstaande voorbeeld een heel eind moeten kunnen komen. Je kunt ook aan ons vragen om dit te doen. Wij controleren dan ook meteen de gehele Zimbra server op eventuele andere (veiligheids) problemen zoals ssh, firewall en andere Zimbra instellingen.

Hoe kan het SSL probleem binnen Zimbra aangepakt worden?

Controleer als eerste of je Zimbra server nog gebruik maakt van de verouderde SSL protocollen (Ciphers). Dit kan bijvoorbeeld op Qualys SSL LABS.

Zwakke ciphers uitschakelen in Zimbra

Je kunt zwakke ciphers uitschakelen met het zmprov commando. Bekijk eerst welke ciphers er reeds uitgeschakeld zijn met:
$ zmprov gcf zimbraSSLExcludeCipherSuites
zimbraSSLExcludeCipherSuites: SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
zimbraSSLExcludeCipherSuites: SSL_DHE_DSS_WITH_DES_CBC_SHA
zimbraSSLExcludeCipherSuites: SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
zimbraSSLExcludeCipherSuites: SSL_DHE_RSA_WITH_DES_CBC_SHA
zimbraSSLExcludeCipherSuites: SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
zimbraSSLExcludeCipherSuites: SSL_RSA_EXPORT_WITH_RC4_40_MD5
zimbraSSLExcludeCipherSuites: SSL_RSA_WITH_DES_CBC_SHA

Is jouw lijst kleiner, of heb je in Qualys gevonden dat je nog extra Ciphers aan deze lijst toevoegen dan kan dat met bijvoorbeeld:

$ zmprov mcf +zimbraSSLExcludeCipherSuites 
$ zmmailboxdctl restart

Zwakker ciphers uitschakelen in Nginx

Bij een standaard installatie is er ook gekozen om Nginx te gebruiken. Ook hiervoor is het noodzakelijk om de gebruikte ciphers aan te passen. Dit kun je doen met:

$ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
$ zmproxyctl restart

Tevreden met deze informatie? Deel het!

Offerte?

Stuur mij een vrijblijvende offerte op maat:

Powered by ChronoForms - ChronoEngine.com

Vragen? Bel: +31 (0)345 - 200 010 of e-mail ons.
Bent u klant van Online.nl of Euronet?
Bel: 088 0038 500 of tweet: @onlinepuntnl

Over Zimbra Nederland

Zimbra Nederland is een produkt van KovoKs BV.
Op deze website vindt u alle informatie die van pas kan komen bij de aanschaf en het gebruik van Zimbra.