LINWARE | Blog | Actualice los conjuntos de cifrado Zimbra TLS para deshabilitar Diffie-Hellmann

BLOG

Actualice los conjuntos de cifrado Zimbra TLS para deshabilitar Diffie-Hellmann

Publicada el 20/12/2022

En un blog y wiki anteriores, se mostro cómo configurar Zimbra con una configuración TLS sólida. Dado que el cifrado siempre está evolucionando, se ha actualizado el blog y la wiki anteriores para deshabilitar Diffie-Hellman.

Si ya aplicó los pasos de la wiki de Cipher Suites, puede ejecutar los siguientes comandos como usuario zimbra para aplicar los cambios recientes.

zmprov -l mcf zimbraReverseProxySSLCiphers '!DH:!EDH:!ADH:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256 -GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'

reiniciar zmproxyctl

postconf -e tls_medium_cipherlist= "!DH:!EDH:!ADH:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256 -GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384"

postconf -e tls_preempt_cipherlist=no

reiniciar zmmtactl

Con este cambio, se ha agregado !DH:!EDH:!ADH: que deshabilitará explícitamente Diffie-Hellman. En algunos casos, con algunos proveedores de certificados, Diffie-Hellman ya estará deshabilitado independientemente de la lista de cifrado configurada. No está de más configurarlo, pero puede verificar su seguridad TLS actual ejecutando una prueba de sitio web en internet.nl.

Ir al Blog