Autor Thema: SSL Report auf ssllabs.com - max. B möglich? (Gelesen 3688 mal)

Ice-Tee · « **am:** 08.01.15 - 08:44:49 »

Hallo zusammen,

nach langen Versuchen habe ich nun mit dem kyrtool endlich ein gültiges SHA-2 Zertifikat in den keyring installieren können. Wäre ja mal schön, wenn IBM irgendwo erklärt, das man die Zertifikate alle einzeln importieren muss und nicht wie beschrieben mit "import all".
Wie auch immer habe ich jetzt mein Zertifikat bei https://www.ssllabs.com/ssltest/index.html getestet und bekomme max. ein B Ergebniss das so aussieht:

Ich verwende:
IBM Domino (r) Server (64 Bit), Release 9.0.1FP2 HF590
Signature algorithm: SHA256withRSA

In notes.ini:
DEBUG_UNSUPPORTED_DISABLE_SSLV3=17
SSL_DISABLE_RENEGOTIATE=1

Ist das der aktuell beste Wert, den ich mit einem Domino 9 erzielen kann (nativ, ohne Proxy etc)?

Danke.

Pfefferminz-T · « **Antwort #1 am:** 08.01.15 - 10:46:24 »

Dazu müsste man die Kriterien kennen, nach denen ssllabs.com seine Einstufung vergibt. Aktuell verhindern sicherlich die ältere TLS-Version (nicht TLS 1.2) und die alten Cipher eine Bestnote...

Gruß,
Thorsten

m3 · « **Antwort #2 am:** 08.01.15 - 14:52:31 »

Ja. Nachdem Domino nativ weder TLS 1.1 noch TLS 1.2 unterstützt, wird Deine Note nicht besser.

Wenn Du TLS 1.2 und TLS 1.3 nativ in Domino haben willst => PMR bei IBM.

Anosnsten zumindest fürs Web einen IHS, Apache, nginx, ... davorschalten.

Ice-Tee · « **Antwort #3 am:** 10.01.15 - 17:38:52 »

Ok, danke.
Sind die letzten drei Infobalken bei meinem Ergebniss noch irgendwie zu eleminieren?

Pfefferminz-T · « **Antwort #4 am:** 11.01.15 - 11:35:40 »

"This server accepts the RC4 cipher":
Nein, solange IBM nicht neue Cipher bereitstellt, ist RC4 der einzige der nicht unsicher ist. Zudem wird RC4 von IBM anders ("besser") implementiert als z.Bsp. von MS. Die Cipher mit weniger Schlüsselstärke und die AES-Cipher (BEAST-Attack) gelten als unsicher.

"There is no support for secure renegotiation":
Über SSL_DISABLE_RENEGOTIATE=1 hast Du Renegotiation komplett deaktiviert.

"Forward Secrecy":
Wird mit den aktuellen FP und IF noch nicht unterstützt. Kann sein, dass hier von IBM aber noch etwas kommt.

Bedeutet zwei der Punkte sind noch ungelöst, der dritte Punkt ist bei Dir deaktiviert (aber damit gibt es eben auch keine sichere Art der Renegotiation).

Gruß,
Thorsten

Ice-Tee · « **Antwort #5 am:** 11.01.15 - 14:09:04 »

Danke für die Hinweise 👍.

daflunic · « **Antwort #6 am:** 23.01.15 - 11:21:59 »

Für TLS Support empfehle ich dir folgenden Artikel:
http://www-01.ibm.com/support/docview.wss?uid=swg27039743&aid=1

Durch das Zusatzmodul IHS (IBM HTTP Server) kannst du auf TLS umstellen.
Alternativ wie m3 bereits sagte: Reverse Proxy davor mit nginx etc...

Gruß,
Christian

Autor Thema: SSL Report auf ssllabs.com - max. B möglich? (Gelesen 3688 mal)

Ice-Tee

SSL Report auf ssllabs.com - max. B möglich?

Pfefferminz-T

Re: SSL Report auf ssllabs.com - max. B möglich?

m3

Re: SSL Report auf ssllabs.com - max. B möglich?

Ice-Tee

Re: SSL Report auf ssllabs.com - max. B möglich?

Pfefferminz-T

Re: SSL Report auf ssllabs.com - max. B möglich?

Ice-Tee

Re: SSL Report auf ssllabs.com - max. B möglich?

daflunic

Re: SSL Report auf ssllabs.com - max. B möglich?