Crear certificados SSL con firma SHA256 en Zimbra

El otro día hablábamos sobre la importancia de utilizar un hash en la firma de certificados de al menos 256bits. Hoy veremos cómo implementarlo en Zimbra.

Zimbra ha mejorado la seguridad de los CSR cambiado el comportamiento por defecto a partir de la versión 8.6. Solo es necesario realizar esta tarea si la versión de Zimbra es inferior a 8.6.

Es necesario modificar el script que genera las solicitudes de certificado:
/opt/zimbra/bin/zmcertmgr

Y añadir a la librería OpenSSL la directiva -sha256 durante la generación del certificado:

Antes (SHA-1):

${openssl} req -new -nodes -out ${current_csr} -keyout ${current_key}

Ahora (SHA-2):

${openssl} req -sha256 -new -nodes -out ${current_csr} -keyout ${current_key}

Una vez guardes los cambios, todos las nuevas Solicitudes de Firma de Certificado (CSR) se generarán firmadas con SHA256.

Si quieres validar si todo ha ido bien, puedes consultar la herramienta online de verificación de CSR de Symantec.

Otra opción es utilizar el interfaz gráfico para hacerlo, y escoger manualmente la opción SHA256

Zimbra Admin -> Configurar -> Certificados -> Instalar Certificados

A partir de la versión 8.6 de Zimbra la opción por defecto en la interfaz web también es SHA256.

Nota: es importante que los certificados intermedios también estén firmados con SHA256 o superior.

Desde Irontec recomendamos instalar o actualizar versiones anteriores a Zimbra 8.6 ya que solventa y mejora varios problemas de seguridad como:

• Heartbleed bug
• Poodle SSLv3
• FREAK Attack

Si necesitas soporte para hacerlo, no dudes en contactarnos.

Más información relativa a la seguridad en Zimbra, en el Wiki de Segurida de Zimbra.