m3: Nein. Welches ?
Glombi: Danke.
Tode:
Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm...
IBM hat reagiert, und es wird ein Fix kommen.
Amen - Gott beschützt euch - und die Welt ist ab sofort wieder in Ordnung.Diese Einstellung kann ich nicht teilen.
Sicher trägt der Stress, der uns gegenwärtig entgegenschlägt, ein wenig zur Wortwahl bei. Sorry.
Aber "polemisches Jammern" ist das sicher nicht.
Hier ein paar sachliche Zahlen.Selbstverständlich haben wir uns an IBM gewandt.
SPR 2008, SPR 2009, SPR 2010, ..., SPR 2013
IBM sagte noch vor kurzem dazu offiziell:
"We've not head that our customers want this.""The 2009 created SPR has already a weight of 3000+ (never seen such value in 15 years), usually above 200 a SPR gets attention."
I'm wondering how much more feedback is required to get this fix implemented?Steve Pitcher zeigt auf dieses IBM Zitat in dieser Diskussion:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8#020FC4F3619B289B85257D77004CA7372010 wurde TLS und sha-2 für die nächste Domino Version verbindlich zugesagt.
Auch dieser Link ist im Web - finde ihn aber heute nicht.
Nun haben wir 2014 und Poodle.
Ich schätze, die Zahl an SPR's diesbezüglich hat sich mindestens auf 30.000 verzehnfacht.
Ein "
beschwer Dich doch dort"
ist wohl etwas zu einfach formuliert, oder ?
> 10.000 Posts zu diesem Thema lt. google in den letzten 5 Tagen.
Gab es so etwas schon mal bei N/D?
Was wir hier gerade erleben, ist leider nicht das Problem selbst -
es ist die Eskalation eines lang vorhergesehenen und tausendfach gemeldeten Problems.
187 Not-Anrufe diesbezüglich bei uns - nur heute -
22 not-installierte reverse Proxy server - nur heute -
17 umgeleitete SOAP Schnittstellen zu Kunden ERP's oder Partnerfirmen - nur heute -
"
IBM hat reagiert, und es wird ein Fix kommen."
Sag' DAS mal Kunden am Telefon... Vertragskündigung am gleichen Tag. Zu recht.
Sachlich faktisch fest steht auch:Es gibt ab sofort keine sha-1 SSL Zertifikate mehr von fast keinem Zertifikat-Aussteller.
--> keinerlei N/D bas. SSL Webseiten mehr, weltweit
Die Browserhersteller kündigen an, sha-1 bzw. SSL-3 fall backs in Kürze nicht mehr zuzulassen.
--> keinerlei Zugang zu N/D bas. SSL Webseiten mehr, weltweit
Läßt man derzeit eine zusätzliche Domain (z.B. neuer Kunde) in ein bestehendes sha-1 Multi-Domain Zertifikat hinzufügen,
bekommt man automatisch ein sha-2 Zertifikat zurück geliefert - obwohl das Zertifikat bisher ein sha-1 Zertifikat war.
Mit dem Ergebnis in N/D, dass das gesamte Zertifikat nicht mehr nutzbar ist.
Das ist nicht irgendein Bug in irgendeiner @-Formel,
das ist ein Existenz - ielles Sicherheitsproblem.
Diskutieren wir zu scharf? Ist das "
rumgetröte" ?
Nein. Es dürfte diese Diskussion überhaupt nicht geben:
Using anything less than the maximum available security options is necessarily insecure.Das sollte das unbedingte Motto eines professionellen Webserver-Herstellers sein.
In den offiziellen IBM Foren wird derzeit von "death knell", "end of domino", "most critical ever", etc diskutiert.
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=026BD2D47421025985257D7200452B47http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8Dieser Poodle beißt N/D richtig tief in die Wade - und hat möglicherweise die Tollwut.
"könntest Du ja mal Tipps geben, wie man das Problem umgeht..."
Das würde ich gerne - es gibt aber bisher keine - weltweit.
IBM HTTP Server (IHS) (32bit, win only, HTTP only) ist keine Lösung.
Die kann diesmal einzig und allein von IBM kommen.
Dem galt und gilt mein dringender Aufruf von oben.
Ich bin kein Troll. Mit der Bitte um Verständnis.
Gruß,
Uwe
