Si instaló o actualizó a Zimbra versión 9.0.0.P34, 8.8.15.P41, 10.0.2 o superior, Zimbra usará OpenSSL 3.0.x y el cumplimiento de FIPS para OpenSSL estará habilitado de forma predeterminada.

Para verificar si su Zimbra OpenSSL está usando FIPS, puede ejecutar el siguiente comando, que debería fallar con un resumen de configuración de error :

Hay 2 beneficios principales al ejecutar OpenSSL en modo FIPS:

1. No puede utilizar accidentalmente cifrados débiles, consulte https://wiki.zimbra.com/wiki/Cipher_suites
2. Habrá menos problemas de seguridad en OpenSSL
3. Más fácil de mantener ya que ya no es necesario definir conjuntos de cifrado en la mayoría de los archivos de configuración.

Para el punto 2, puede ver las notificaciones de seguridad de OpenSSL en esta página: https://www.openssl.org/news/vulnerabilities-3.0.html y compararlas con las que afectan a FIPS: https://www. openssl.org/news/fips-cve.html como puede ver, la mayoría de los problemas de seguridad no afectan a OpenSSL FIPS.

El inconveniente de usar Zimbra OpenSSL en modo FIPS es que ya no puede usar protocolos y cifrados obsoletos como TLS 1.0 y esto interrumpirá la conectividad con dispositivos obsoletos que ejecutan, por ejemplo, Windows XP y Android 4.

Zimbra recomienda encarecidamente ejecutar Zimbra OpenSSL en modo FIPS. Para obtener más información, consulte: https://wiki.zimbra.com/wiki/FIPS