Zimbra 8.8 e 9: Obtendo “A+” no teste de segurança SSL Labs (Atualizado em Outubro de 2021)

Olá! Tempos atrás publiquei alguns artigos sobre como obter o “A+” no teste de segurança da Qualys SSL LAB.

Certamente os requisitos mudam com o tempo e especialmente neste momento (2021), isso inclui suportar as cifras consideradas seguras e habilitar o suporte ao TLS v1.3.

Portanto, vamos ver os ajustes no Zimbra para habilitar o TLS v1.3 e outras configurações de segurança!

É possível habilitar o TLS v1.3 no Zimbra a partir do patch 13 da versão 9 e o patch 20 da versão 8.8.15.

Habilitando o suporte ao TLS v1.2 e v1.3:

  • Essas configurações habilitam o suporte no serviço de Proxy do Zimbra (Nginx):
$ zmprov mcf zimbraReverseProxySSLProtocols TLSv1.2
$ zmprov mcf +zimbraReverseProxySSLProtocols TLSv1.3
$ zmprov -l mcf zimbraReverseProxySSLCiphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'

$ zmproxyctl restart
  • Agora é necessário habilitar também no serviço de Mailbox do Zimbra, edite o arquivo /opt/zimbra/conf/localconfig.xml, e na linha “mailboxd_java_options” configure as opções com “TLSv1.2,TLSv1.3”:
<key name="mailboxd_java_options">
  <value>-server -Dhttps.protocols=TLSv1.2,TLSv1.3 -Djdk.tls.client.protocols=TLSv1.2,TLSv1.3 -Djava.awt.headless=true -Dsun.net.inetaddr.ttl=${networkaddress_cache_ttl} -Dorg.apache.jasper.compiler.disablejsr199=true -XX:+UseG1GC -XX:SoftRefLRUPolicyMSPerMB=1 -XX:+UnlockExperimentalVMOptions -XX:G1NewSizePercent=15 -XX:G1MaxNewSizePercent=45 -XX:-OmitStackTraceInFastThrow -verbose:gc -Xlog:gc*=info,safepoint=info:file=/opt/zimbra/log/gc.log:time:filecount=20,filesize=10m -Djava.net.preferIPv4Stack=true</value>
</key>

Gerando o DHPARAM e habilitando HTTP headers:

/opt/zimbra/common/bin/openssl dhparam -out /opt/zimbra/conf/dhparam.pem.zcs 3072
zmprov mcf zimbraSSLDHParam /opt/zimbra/conf/dhparam.pem.zcs
zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000; includeSubDomains"
zmprov mcf +zimbraResponseHeader "X-XSS-Protection: 1; mode=block"
zmprov mcf +zimbraResponseHeader "X-Content-Type-Options: nosniff"
zmprov mcf +zimbraResponseHeader "X-Robots-Tag: noindex"
zmprov mcf zimbraMailKeepOutWebCrawlers TRUE
zmmailboxdctl restart

Feito isso, teste o resultado do teste SSL Labs utilizando sua URL de acesso ao Zimbra neste link: https://www.ssllabs.com/ssltest/analyze.html

Um comentário sobre “Zimbra 8.8 e 9: Obtendo “A+” no teste de segurança SSL Labs (Atualizado em Outubro de 2021)

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s