Posted by A partire dalla versione 10.5.12 Axigen mail server passerà da OpenSSL 1.1.1 a OpenSSL 3. Questo cambiamento è stato necessario per migliorare la sicurezza del prodotto.
In questo articolo illustreremo le ragioni di questo passaggio e il suo impatto, oltre a fornire indicazioni su come passare senza problemi alla nuova versione.
Perché OpenSSL 3
OpenSSL 1.1.1, una pietra miliare della infrastruttura di sicurezza del mail server a partire dall’11 settembre 2023 è passoto in End Of Life, quindi , non riceverà più correzioni di sicurezza nè sarà supportato oltre questa data. Per garantire la continua solidità dei protocolli di sicurezza utilizzati nel mailserver, Axigen sta effettuando l’aggiornamento a OpenSSL 3, che apporta misure di sicurezza migliorate e definisce il percorso da seguire per affrontare le vulnerabilità future.
Perché Openssl 3 è disponibile solo in X5 (10.5.X)
Axigen X5 utilizza un’infrastruttura completamente nuova per la gestione delle librerie incorporate e adotta Bitdefender AntiMalware e AntiSpam, sostituendo la soluzione obsoleta di Cyren. A causa delle notevoli differenze, il supporto di OpenSSL 3 in Axigen X3 e X4 nelle versioni precedenti del mail server sarebbe stato molto impegnativo, per cui Axigen ha deciso di includere OpenSSL 3 solo a partire dalla versione Axigen X5. Axigen incoraggia tutti gli utenti a passare ad Axigen X5 per migliorare le prestazioni e la sicurezza del mail server
.
Impatto potenziale sulla distribuzione di Axigen
OpenSSL 3 è dotato di un sistema di sicurezza rinforzato.
D’altra parte, il settore della posta elettronica, in cui opera Axigen, presenta un panorama unico, caratterizzato da diversità e sistemi legacy.
La discussione in corso all’interno del team di sviluppo Axigen sul delicato equilibrio tra sicurezza e usabilità li ha portati ad abbracciare lo spirito della sicurezza OpenSSL 3, allineandosi con le misure avanzate introdotte dalla nuova versione. Questa decisione riflette la dedizione di Axigen a fornire un ambiente sicuro per la propria infrastruttura di comunicazione. Ciò però implica che alcune funzionalità delle attuali implementazioni di Axigen potrebbero non funzionare correttamente se non opportunamente riconfigurate. Di seguito sono riportati ulteriori dettagli sulle modifiche specifiche e sui servizi potenzialmente interessati da questo cambiamento.
1. Disabilitazione predefinita di TLS 1.0 e 1.1
A seguito della deprecazione formale in RFC 8996, TLS 1.0 e 1.1, insieme ai cifrari associati, sono ora disabilitati per impostazione predefinita. Ciò coinvolge i client dei dei servizi (SMTP, IMAP, WebMail, ecc.) e i client SSL interni (LDAP, POP remoto, migrazione IMAP, invio SMTP).
2. Convalida predefinita del certificato
In linea con i miglioramenti della sicurezza di OpenSSL, i certificati SSL verranno ora convalidati in modo più esteso: se la data di validità di un certificato è scaduta, l’oggetto non corrisponde al nome di dominio effettivo o l’autorità del certificato non è attendibile, la connessione non verrà stabilita. Questa modifica conivolge anche i cluster di prova che utilizzano certificati autofirmati.
3. Deprecazione della rinegoziazione legacy non sicura
La rinegoziazione legacy, associata a TLSv1.2 e precedenti, è deprecata in OpenSSL 3. Ciò conivolge vari servizi, tra cui LDAP, RPOP, Migrazione IMAP, Invio SMTP, Ricezione SMTP, POP3, Proxy POP3, IMAP e Proxy IMAP.
Testare la nuova versione per individuare le esigenze di messa a punto
Prima di passare ad Axigen 10.5.12 con OpenSSL 3 in un ambiente di produzione, si consiglia di testare la nuova versione su una piattaforma dedicata. In questo modo si garantisce una transizione senza problemi e si possono affrontare eventuali problemi che possono sorgere durante la fase di test.
Se si riscontrano problemi o si ha bisogno di sistemare alcune impostazioni, si prega di richiedere l’assistenza del team di supporto tecnico Axigen.