Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
datenbanken24:
m3: Nein. Welches ?
Glombi: Danke.
Tode:
--- Zitat ---Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm...
IBM hat reagiert, und es wird ein Fix kommen.
--- Ende Zitat ---
Amen - Gott beschützt euch - und die Welt ist ab sofort wieder in Ordnung.
Diese Einstellung kann ich nicht teilen.
Sicher trägt der Stress, der uns gegenwärtig entgegenschlägt, ein wenig zur Wortwahl bei. Sorry.
Aber "polemisches Jammern" ist das sicher nicht.
Hier ein paar sachliche Zahlen.
Selbstverständlich haben wir uns an IBM gewandt.
SPR 2008, SPR 2009, SPR 2010, ..., SPR 2013
IBM sagte noch vor kurzem dazu offiziell:
"We've not head that our customers want this."
"The 2009 created SPR has already a weight of 3000+ (never seen such value in 15 years), usually above 200 a SPR gets attention."
I'm wondering how much more feedback is required to get this fix implemented?
Steve Pitcher zeigt auf dieses IBM Zitat in dieser Diskussion:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8#020FC4F3619B289B85257D77004CA737
2010 wurde TLS und sha-2 für die nächste Domino Version verbindlich zugesagt.
Auch dieser Link ist im Web - finde ihn aber heute nicht.
Nun haben wir 2014 und Poodle.
Ich schätze, die Zahl an SPR's diesbezüglich hat sich mindestens auf 30.000 verzehnfacht.
Ein "beschwer Dich doch dort"
ist wohl etwas zu einfach formuliert, oder ?
> 10.000 Posts zu diesem Thema lt. google in den letzten 5 Tagen.
Gab es so etwas schon mal bei N/D?
Was wir hier gerade erleben, ist leider nicht das Problem selbst -
es ist die Eskalation eines lang vorhergesehenen und tausendfach gemeldeten Problems.
187 Not-Anrufe diesbezüglich bei uns - nur heute -
22 not-installierte reverse Proxy server - nur heute -
17 umgeleitete SOAP Schnittstellen zu Kunden ERP's oder Partnerfirmen - nur heute -
"IBM hat reagiert, und es wird ein Fix kommen."
Sag' DAS mal Kunden am Telefon... Vertragskündigung am gleichen Tag. Zu recht.
Sachlich faktisch fest steht auch:
Es gibt ab sofort keine sha-1 SSL Zertifikate mehr von fast keinem Zertifikat-Aussteller.
--> keinerlei N/D bas. SSL Webseiten mehr, weltweit
Die Browserhersteller kündigen an, sha-1 bzw. SSL-3 fall backs in Kürze nicht mehr zuzulassen.
--> keinerlei Zugang zu N/D bas. SSL Webseiten mehr, weltweit
Läßt man derzeit eine zusätzliche Domain (z.B. neuer Kunde) in ein bestehendes sha-1 Multi-Domain Zertifikat hinzufügen,
bekommt man automatisch ein sha-2 Zertifikat zurück geliefert - obwohl das Zertifikat bisher ein sha-1 Zertifikat war.
Mit dem Ergebnis in N/D, dass das gesamte Zertifikat nicht mehr nutzbar ist.
Das ist nicht irgendein Bug in irgendeiner @-Formel,
das ist ein Existenz - ielles Sicherheitsproblem.
Diskutieren wir zu scharf? Ist das "rumgetröte" ?
Nein. Es dürfte diese Diskussion überhaupt nicht geben:
Using anything less than the maximum available security options is necessarily insecure.
Das sollte das unbedingte Motto eines professionellen Webserver-Herstellers sein.
In den offiziellen IBM Foren wird derzeit von "death knell", "end of domino", "most critical ever", etc diskutiert.
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=026BD2D47421025985257D7200452B47
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8
Dieser Poodle beißt N/D richtig tief in die Wade - und hat möglicherweise die Tollwut.
--- Zitat ---"könntest Du ja mal Tipps geben, wie man das Problem umgeht..."
--- Ende Zitat ---
Das würde ich gerne - es gibt aber bisher keine - weltweit.
IBM HTTP Server (IHS) (32bit, win only, HTTP only) ist keine Lösung.
Die kann diesmal einzig und allein von IBM kommen.
Dem galt und gilt mein dringender Aufruf von oben.
Ich bin kein Troll. Mit der Bitte um Verständnis.
Gruß,
Uwe
WildVirus:
Guten Morgen Uwe,
ja, die IBM hat sich hier wirklich blamiert. Aber dennoch bist Du mit Deinem Verhalten hier fehl am Platz.
--- Zitat von: Tode am 22.10.14 - 00:17:57 ---... Denn darum geht es hier: anderen mit Ihren Fragen und Problemen zu helfen, und nicht auf IBM einzuschlagen... Atnotes ist nicht IBM, und die wenigsten hier arbeiten bei denen. Und die meisten sind vermutlich, was die ganze aktuelle ssl Thematik angeht, Deiner Meinung, nur Dein polemisches rumgetröte, wie sch... iBM ist, hilft keinem weiter...
--- Ende Zitat ---
Tode hat es m.E. recht gut zusammen gefasst.
Ja, IBM hat Mist gebaut und fängt an, es zu begreifen. Fängt an bezieht sich auf ...in a few weeks....
Ja, damit gefährden Sie den Ruf und die Existenz von Notes mehr als mit ihrem -in meinen Augen miserablen Marketing- der letzten 10 Jahre
Ja, wer seine Dominos direkt nach draußen stellt, hat ein Problem
ABER - hier ist nich IBM, hier sind wenig bis keine IBM-Angestellten. (Die Hotliner, die hier zur kostenfreien Weiterbildung mitlesen, lassen wir mal außen vor.) Das stört mich und die anderen hier.
Bei uns läuft -mal wieder- die Diskussion "Notes raus, gebt uns endlich Outlook". Wenn die Großkopferten solche Threads lesen, ist das Öl auf die Mühlen. Und es hilft nichts. Wie gesagt, hier ist nicht IBM.
Musste ich als langjähriger atNotesler mal loswerden.
VG,
Axel
shiraz:
Hallo Alex,
--- Zitat ---ABER - hier ist nich IBM
--- Ende Zitat ---
ja du hast recht, hier ist nicht IBM aber IBM ist hier.
Wenn man hier nicht über ein Sicherheitsloch bei Domino und das Verhalten von IBM diskutieren kann und die Notes-Gemeinde aufmerksamer machen kann, dann wo ...
DerAndre:
Hi.
Habe ich gerade gesehen. Einfach nur als Teil der Sammlung
Sasa Brkic - How to use TLS and SHA-2 certificates in Domino Web Service Consumer
Und ich kenne mich damit nicht aus. ::)
umi:
Bei dem ganzen SSL Thema fehlt mir noch die SNI unterstützung :-)
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln