Autor Thema: SSL Report auf ssllabs.com - max. B möglich?  (Gelesen 3731 mal)

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
SSL Report auf ssllabs.com - max. B möglich?
« am: 08.01.15 - 08:44:49 »
Hallo zusammen,

nach langen Versuchen habe ich nun mit dem kyrtool endlich ein gültiges SHA-2 Zertifikat in den keyring installieren können. Wäre ja mal schön, wenn IBM irgendwo erklärt, das man die Zertifikate alle einzeln importieren muss und nicht wie beschrieben mit "import all".
Wie auch immer habe ich jetzt mein Zertifikat bei https://www.ssllabs.com/ssltest/index.html getestet und bekomme max. ein B Ergebniss das so aussieht:



Ich verwende:
IBM Domino (r) Server (64 Bit), Release 9.0.1FP2 HF590
Signature algorithm: SHA256withRSA

In notes.ini:
DEBUG_UNSUPPORTED_DISABLE_SSLV3=17
SSL_DISABLE_RENEGOTIATE=1

Ist das der aktuell beste Wert, den ich mit einem Domino 9 erzielen kann (nativ, ohne Proxy etc)?

Danke.

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #1 am: 08.01.15 - 10:46:24 »
Dazu müsste man die Kriterien kennen, nach denen ssllabs.com seine Einstufung vergibt. Aktuell verhindern sicherlich die ältere TLS-Version (nicht TLS 1.2) und die alten Cipher eine Bestnote...

Gruß,
Thorsten
Grüsse,
Thorsten

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #2 am: 08.01.15 - 14:52:31 »
Ja. Nachdem Domino nativ weder TLS 1.1 noch TLS 1.2 unterstützt, wird Deine Note nicht besser.

Wenn Du TLS 1.2 und TLS 1.3 nativ in Domino haben willst => PMR bei IBM.

Anosnsten zumindest fürs Web einen IHS, Apache, nginx, ... davorschalten.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #3 am: 10.01.15 - 17:38:52 »
Ok, danke.
Sind die letzten drei Infobalken bei meinem Ergebniss noch irgendwie zu eleminieren?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #4 am: 11.01.15 - 11:35:40 »
"This server accepts the RC4 cipher":
Nein, solange IBM nicht neue Cipher bereitstellt, ist RC4 der einzige der nicht unsicher ist. Zudem wird RC4 von IBM anders ("besser") implementiert als z.Bsp. von MS. Die Cipher mit weniger Schlüsselstärke und die AES-Cipher (BEAST-Attack) gelten als unsicher.

"There is no support for secure renegotiation":
Über SSL_DISABLE_RENEGOTIATE=1 hast Du Renegotiation komplett deaktiviert.

"Forward Secrecy":
Wird mit den aktuellen FP und IF noch nicht unterstützt. Kann sein, dass hier von IBM aber noch etwas kommt.

Bedeutet zwei der Punkte sind noch ungelöst, der dritte Punkt ist bei Dir deaktiviert (aber damit gibt es eben auch keine sichere Art der Renegotiation).

Gruß,
Thorsten
Grüsse,
Thorsten

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #5 am: 11.01.15 - 14:09:04 »
Danke für die Hinweise 👍.

Offline daflunic

  • Frischling
  • *
  • Beiträge: 20
Re: SSL Report auf ssllabs.com - max. B möglich?
« Antwort #6 am: 23.01.15 - 11:21:59 »
Für TLS Support empfehle ich dir folgenden Artikel:
http://www-01.ibm.com/support/docview.wss?uid=swg27039743&aid=1

Durch das Zusatzmodul IHS (IBM HTTP Server) kannst du auf TLS umstellen.
Alternativ wie m3 bereits sagte: Reverse Proxy davor mit nginx etc...

Gruß,
Christian

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz