Zimbra 8.7 e 8.8: Implementando certificado assinado com Let’s Encrypt

Olá ! Nesse artigo eu gostaria de compartilhar com vocês as orientações para implementar um certificado válido e gratuito da Let’s Encrypt no Zimbra 8.7 e 8.8.

(Essa implementação é idêntica para a versões Open Source, Suite Plus e Network)

Tenho observado que mesmo com a divulgação dos certificados gratuitos da Let’s Encrypt e a diminuição do custo de certificados assinados no Brasil em geral, muitos administradores Zimbra ainda não implementaram um certificado válido no seu ambiente.

Neste outro artigo explico um pouco mais sobre a importância da utilização de um certificado assinado, além da atualização para a versão 8.7:

https://respirandolinux.com.br/2016/08/27/zimbra-porque-atualizar-para-a-versao-8-7-openssl-padding-oracle-instalei-um-certificado-valido-estou-seguro/

Continuar lendo “Zimbra 8.7 e 8.8: Implementando certificado assinado com Let’s Encrypt”

Anúncios

Zimbra: Desabilitar opção para alterar nome de exibição e endereço de resposta

photoSecurity2

Olá ! Neste artigo gostaria de compartilhar com vocês um patch que criei para auxiliar no processo de conformidade do cliente WEB Zimbra com políticas de segurança da informação, desabilitando as opções que permitem alterar o nome de exibição (MAIL FROM) e definir um endereço de resposta diferente (REPLY TO) no envio das mensagens:

zimbra-preferencias-contas-google-chrome

Embora o cliente WEB do Zimbra limite a alteração do E-mail de origem, inibindo que seja forjado o remetente, convém que o nome de exibição também seja protegido, inibindo assim completamente a possibilidade de forjar remetentes ou identidades ao enviar mensagens. Bloqueando a opção de definir um endereço de resposta diferente, também é inibida a ação de direcionar mensagens indevidamente.

Link para o patch:

https://github.com/fsschmidt/zimbra/tree/master/remover_MAILFROM

Continuar lendo “Zimbra: Desabilitar opção para alterar nome de exibição e endereço de resposta”

Zimbra 8.7: Obtendo “A+” no teste de segurança SSL Labs

zimbra-no-lettermark - Copydownload

Olá ! Esse post é uma continuação do “Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?”

Publiquei o artigo acima destacando que em uma ambiente onde implementamos o Zimbra 8.7, obtivemos o resultado “A” no teste da SSL Labs. Lendo o artigo, o Jorge de La Cruz (https://www.jorgedelacruz.es) compartilhou um link em seu blog com uma única modificação no Zimbra para se obter “A+” no teste de SSL.

Executamos o procedimento abaixo e ao efetuar um novo teste obtivemos o resultado “A+” esperado:

$ zmprov mcf +zimbraResponseHeader “Strict-Transport-Security: max-age=31536000”
$ zmcontrol restart

Referência:

Zimbra: Consiguiendo un A+ en el test de seguridad Qualys SSL Labs con Zimbra Collaboration 8.7

Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?

zimbra-no-lettermark - Copydownload

Olá ! Este artigo, como pode ser observado pelo título do mesmo, contempla três tópicos, pois os considero relacionados:

  • Porque atualizar para a versão 8.7?
  • O Zimbra é afetado pela vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107) ?
  • Instalei um certificado válido? Estou seguro?

Vamos começar falando da versão 8.7, que foi lançada em Julho deste ano.

Muitos têm se perguntado se devem atualizar seu ambiente Zimbra para a versão 8.7. A minha resposta é sim, você deve atualizar o seu ambiente para a versão 8.7. Obviamente, como qualquer atualização de versão de uma solução, diversos fatores devem ser levados em consideração, portanto, não estando alheio do esforço que é empregado em uma atualização, que as vezes pode envolver uma migração, especialmente por questões de segurança, performance e recursos, a atualização para a versão 8.7 traz muitas vantagens.

Continuar lendo “Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?”

Certificado assinado: Utilizando certificado EV SSL Site Seguro Pro

Olá ! Nesse post gostaria de compartilhar os procedimentos necessários para utilização de um certificado EV SSL Site Seguro Pro adquirido pela Certsign, especialmente em servidores WEB (Apache/Nginx) e soluções de groupware como Zimbra.

Assim que for efetuado o download do certificado, as orientações da Certsign são para efetuar o download das cadeias de certificados do produto EV SSL Site Seguro Pro, mas é justamente aí que está o problema. Ao analisar o arquivo, pode-se observar que o “caminho de certificação” é esse:

cert2

Portanto, para utilização deste certificado, será necessário efetuar o Bundle das cadeias de certificado Verisign e Symantec Class 3 EV SSL CA – G3. Ao clicar em qualquer item do caminho de certificação, no botão “detalhes“, é possível obter mais informações sobre a cadeia que necessita ser utilizada:

cert3

Seguem os links para Download da cadeia de certificados necessária para utilização deste certificado:

http://www.symantec.com/content/en/us/enterprise/verisign/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem

https://knowledge.symantec.com/library/VERISIGN/ALL_OTHER/KB_IMAGES/SO26896/Cert_Files/SHA2/Symantec%20Class%203%20EV%20SSL%20CA%20-%20G3.cer

Uma vez que for efetuado o download dos dois arquivos, o bundle é feito unindo ambos, como o comando ‘cat’, por exemplo, no Linux. No caso do procedimento ser efetuado no Windows, o comando ‘copy’ pode ser utilizado.