Autor Thema: neues Zertifikat im IE ok, im FF aber nicht?  (Gelesen 3660 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
neues Zertifikat im IE ok, im FF aber nicht?
« am: 09.03.15 - 14:41:00 »
Hallo,

ich habe nach einigen Startschwierigkeiten aus unserem Wildcard-Zertifikat ein Keyring erstellen können.
Gemäß Anleitung unter: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool

Für mich war es ein wenig irreführend, dass unter Punkt 6 eine server.txt erstellt werden soll:
Zitat
type server.key server.crt intermediate.crt root.crt > server.txt
Also nur mit 3 CRT-Dateien, aber bei der Prüfung 4 Zertifkate genannt werden:
Zitat
INFO: Successfully read 4 certificates
Letztlich habe  ich unsere CA zu Hilfe gebeten und diese hat mir das fehlende Zertifkat zur Verfügung gestellt.

Zudem soll der Keyring wie folgt erstellt werden:
Zitat
kyrtool =c:\lotus\notes\notes.ini import all -k c:\lotus\notes\data\keyring.kyr -i c:\lotus\notes\data\ssl\server.txt
Dieser wird also schon direkt im Data-Verzeichnis abgelegt.
Sollte der Dateiname (also z.B. keyring.kyr) noch nicht existieren, dann erscheint auch eine Fehlermeldung. Warum also nachher mitteilen, dass noch der alte Keyring mit dem neuen überschrieben werden muss?

Ich habe die Dateien (kyr und sth) im heruntergefahrenen Domino ohne Fehlermeldung erzeugt und vorher im Serverdokument unter Ports / Internet Ports / SSL key file name den zukünfitgen Namen angegeben.
Nach dem Neustart vom Domino wird mir im IE das Zertifkat angezeigt. Die korrekte CA genannt und auch das korrekte Ablaufdatum.
Aber der FF meldet, dass die Seite keine Identitätsdaten zur Verfügung stellen würde.

Habe ich noch etwas falsch gemacht oder vergessen?


Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #1 am: 10.03.15 - 16:14:48 »
Ich habs rausgefunden.  ;D
Es lag an den erlaubten SSL Cipher Einstellungen.

Ich hatte zunächst nur  
Zitat
RC4 encryption with 128-bit key and MD5 MAC
RC4 encryption with 128-bit key and SHA-1 MAC
erlaubt.
Nachdem ich nun testweise noch
Zitat
AES encryption with 128-bit key and SHA-1MAC
AES encryption with 256-bit key and SHA-1 MAC
hinzugefügt habe, funktioniert es jetzt auch im FF.

Allerdings bekomme ich jetzt vom SSLLabs.com nur noch ein C  :-\ :'(
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #2 am: 10.03.15 - 17:32:11 »
Die AES-Cipher gelten seit der BEAST-Attack als unsicher... deshalb die schlechtere Bewertung.

Gruss,
Thorsten
Grüsse,
Thorsten

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #3 am: 11.03.15 - 06:46:57 »
Aber wenn ich nur die beiden RC4 ciphers erlaube, dann erhalte ich bei SSLLabs zwar ein B, was imho im Moment das höchstmögliche Ergebnis für einen Domino ist, aber der Firefox zeigt dann das Zertifikat nicht an (keine Identitätsdaten gefunden)

Welche ciphers erlaubt ihr denn und habt ihr dann auch die Probleme beim Firefox?
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #4 am: 11.03.15 - 09:09:47 »
Laut Präsentation von Dave Kern und Daniel Nashed auf der ConnectED wurden neue Ciphers angekündigt... bis dahin muss man abwägen: Wo steht der Domino Server (Intranet, Internet) und wie hoch ist das Risiko im jeweiligen Netz (wie sicher ist der Zugang physisch und logisch, wie wahrscheinlich ist es, dass sich ein Spezialist dort reinhackt)?

Nach dieser Risikoanalyse habe ich dann verschiedene Möglichkeiten:

- Domino-Server hinter Load-Balancer oder Reverse Proxy zur Erhöhung der Sicherheit (Cipher, TLS, Schutz vor Zugriff auf andere Ports auf Domino Server) und Hochverfügbarkeit (mehrere Domino Server oder mehrere Web-Server oder andere Services wie LDAP, IMAP, ...)

- Domino-Server direkt mit Ciphers AES und RC4

- Domino-Server direkt mit RC4

Im Firefox kann man einzelne Cipher auch deaktivieren:

about:config
Suche nach rc4 bzw. security.ssl3. -> True bedeutet der Cipher ist aktiviert... habt ihr RC4 u.U. deaktiviert?

Gruss,
Thorsten

P.S. In der Präsentation auf der ConnectED werden folgende Cipher empfohlen (Quelle: http://www.nashcom.de/nshweb/pages/lotusphere.htm)

SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA



Grüsse,
Thorsten

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #5 am: 11.03.15 - 09:54:45 »
Ad Ciphers: Sehr empfehlenswert ist die Lektüre des BetterCrypto Guides. Da erklären sie das alles.
https://bettercrypto.org/

Nachdem das ein österr. Projekt ist bin ich gerade in Kommunikation mit den Autoren, hier auch Domino, IHS, ... hinein zu bringen ;)
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #6 am: 11.03.15 - 10:09:40 »
Im ersten Schritt gehts um den Traveler-Server, der ja auch Webaccess zur Einrichtung der Smartphones anbietet.
Der steht in der DMZ und bei der Installation wurde der ja nun integrierte IBM HTTP Sever als Proxy aktiviert.
Ich würde schon gerne die Sicherheit erhöhen, aber der Firefox muss das Zertifikat akzeptieren und anzeigen.
Im FF sind die RC4 übrigens aktiviert.

Kurzfristig muss ich aber auch einen Mail-Server mit Webaccess (ein paar erlaubte Mailboxen) umstellen. Ob ich da den HTTP Proxy nachträglich aktivieren kann?

Merkwürdig dass auf der ConnectED Cipher empfohlen werden, die mit der BEAST-Attack als unsicher gelten.
Und dass nur die beiden RC4 Ciphers erlauben zu einem besseren Ergebnis bei SSLLabs führt, obwohl auch gerade die als nicht sicher gelten sollen.
Zitat
This server accepts the RC4 cipher, which is weak. Grade capped to B
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: neues Zertifikat im IE ok, im FF aber nicht?
« Antwort #7 am: 11.03.15 - 10:25:22 »
Wenn ihr den IBM HTTP-Server dort laufen habt, dann wird doch der Domino Server und seine Cipher-Suite gar nicht mehr angesprochen sondern nur der Proxy?

RC4 und AES-Cipher gelten beide nicht mehr als sicher, was soll man also empfehlen? Keine Web-Services mehr anbieten? Der sicherste Weg ist zum aktuellen Zeitpunkt der Betrieb eines ReverseProxy in der DMZ, der die Anfragen an den entweder im Intranet  oder in einer eigenen abgeriegelten Zone stehenden Traveler-Server weiterleitet...

@Martin: Danke für den Link, kannte ich noch nicht. Wäre gut, wenn man da Domino mit reinbringen könnte...
« Letzte Änderung: 11.03.15 - 10:28:49 von Pfefferminz-T »
Grüsse,
Thorsten

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz