Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

SSL Report auf ssllabs.com - max. B möglich?

(1/2) > >>

Ice-Tee:
Hallo zusammen,

nach langen Versuchen habe ich nun mit dem kyrtool endlich ein gültiges SHA-2 Zertifikat in den keyring installieren können. Wäre ja mal schön, wenn IBM irgendwo erklärt, das man die Zertifikate alle einzeln importieren muss und nicht wie beschrieben mit "import all".
Wie auch immer habe ich jetzt mein Zertifikat bei https://www.ssllabs.com/ssltest/index.html getestet und bekomme max. ein B Ergebniss das so aussieht:



Ich verwende:
IBM Domino (r) Server (64 Bit), Release 9.0.1FP2 HF590
Signature algorithm: SHA256withRSA

In notes.ini:
DEBUG_UNSUPPORTED_DISABLE_SSLV3=17
SSL_DISABLE_RENEGOTIATE=1

Ist das der aktuell beste Wert, den ich mit einem Domino 9 erzielen kann (nativ, ohne Proxy etc)?

Danke.

Pfefferminz-T:
Dazu müsste man die Kriterien kennen, nach denen ssllabs.com seine Einstufung vergibt. Aktuell verhindern sicherlich die ältere TLS-Version (nicht TLS 1.2) und die alten Cipher eine Bestnote...

Gruß,
Thorsten

m3:
Ja. Nachdem Domino nativ weder TLS 1.1 noch TLS 1.2 unterstützt, wird Deine Note nicht besser.

Wenn Du TLS 1.2 und TLS 1.3 nativ in Domino haben willst => PMR bei IBM.

Anosnsten zumindest fürs Web einen IHS, Apache, nginx, ... davorschalten.

Ice-Tee:
Ok, danke.
Sind die letzten drei Infobalken bei meinem Ergebniss noch irgendwie zu eleminieren?

Pfefferminz-T:
"This server accepts the RC4 cipher":
Nein, solange IBM nicht neue Cipher bereitstellt, ist RC4 der einzige der nicht unsicher ist. Zudem wird RC4 von IBM anders ("besser") implementiert als z.Bsp. von MS. Die Cipher mit weniger Schlüsselstärke und die AES-Cipher (BEAST-Attack) gelten als unsicher.

"There is no support for secure renegotiation":
Über SSL_DISABLE_RENEGOTIATE=1 hast Du Renegotiation komplett deaktiviert.

"Forward Secrecy":
Wird mit den aktuellen FP und IF noch nicht unterstützt. Kann sein, dass hier von IBM aber noch etwas kommt.

Bedeutet zwei der Punkte sind noch ungelöst, der dritte Punkt ist bei Dir deaktiviert (aber damit gibt es eben auch keine sichere Art der Renegotiation).

Gruß,
Thorsten

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln