neues Zertifikat im IE ok, im FF aber nicht?

[schroederk]

Hallo,

ich habe nach einigen Startschwierigkeiten aus unserem Wildcard-Zertifikat ein Keyring erstellen können.
Gemäß Anleitung unter: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool

Für mich war es ein wenig irreführend, dass unter Punkt 6 eine server.txt erstellt werden soll:

type server.key server.crt intermediate.crt root.crt > server.txt

Also nur mit 3 CRT-Dateien, aber bei der Prüfung 4 Zertifkate genannt werden:

INFO: Successfully read 4 certificates

Letztlich habe  ich unsere CA zu Hilfe gebeten und diese hat mir das fehlende Zertifkat zur Verfügung gestellt.

Zudem soll der Keyring wie folgt erstellt werden:

kyrtool =c:\lotus\notes\notes.ini import all -k c:\lotus\notes\data\keyring.kyr -i c:\lotus\notes\data\ssl\server.txt

Dieser wird also schon direkt im Data-Verzeichnis abgelegt.
Sollte der Dateiname (also z.B. keyring.kyr) noch nicht existieren, dann erscheint auch eine Fehlermeldung. Warum also nachher mitteilen, dass noch der alte Keyring mit dem neuen überschrieben werden muss?

Ich habe die Dateien (kyr und sth) im heruntergefahrenen Domino ohne Fehlermeldung erzeugt und vorher im Serverdokument unter Ports / Internet Ports / SSL key file name den zukünfitgen Namen angegeben.
Nach dem Neustart vom Domino wird mir im IE das Zertifkat angezeigt. Die korrekte CA genannt und auch das korrekte Ablaufdatum.
Aber der FF meldet, dass die Seite keine Identitätsdaten zur Verfügung stellen würde.

Habe ich noch etwas falsch gemacht oder vergessen?

[schroederk]

Ich habs rausgefunden.  
Es lag an den erlaubten SSL Cipher Einstellungen.

Ich hatte zunächst nur  

RC4 encryption with 128-bit key and MD5 MAC
RC4 encryption with 128-bit key and SHA-1 MAC

erlaubt.
Nachdem ich nun testweise noch

AES encryption with 128-bit key and SHA-1MAC
AES encryption with 256-bit key and SHA-1 MAC

hinzugefügt habe, funktioniert es jetzt auch im FF.

Allerdings bekomme ich jetzt vom SSLLabs.com nur noch ein C 

[Pfefferminz-T]

Die AES-Cipher gelten seit der BEAST-Attack als unsicher... deshalb die schlechtere Bewertung.

Gruss,
Thorsten

[schroederk]

Aber wenn ich nur die beiden RC4 ciphers erlaube, dann erhalte ich bei SSLLabs zwar ein B, was imho im Moment das höchstmögliche Ergebnis für einen Domino ist, aber der Firefox zeigt dann das Zertifikat nicht an (keine Identitätsdaten gefunden)

Welche ciphers erlaubt ihr denn und habt ihr dann auch die Probleme beim Firefox?

[Pfefferminz-T]

Laut Präsentation von Dave Kern und Daniel Nashed auf der ConnectED wurden neue Ciphers angekündigt... bis dahin muss man abwägen: Wo steht der Domino Server (Intranet, Internet) und wie hoch ist das Risiko im jeweiligen Netz (wie sicher ist der Zugang physisch und logisch, wie wahrscheinlich ist es, dass sich ein Spezialist dort reinhackt)?

Nach dieser Risikoanalyse habe ich dann verschiedene Möglichkeiten:

- Domino-Server hinter Load-Balancer oder Reverse Proxy zur Erhöhung der Sicherheit (Cipher, TLS, Schutz vor Zugriff auf andere Ports auf Domino Server) und Hochverfügbarkeit (mehrere Domino Server oder mehrere Web-Server oder andere Services wie LDAP, IMAP, ...)

- Domino-Server direkt mit Ciphers AES und RC4

- Domino-Server direkt mit RC4

Im Firefox kann man einzelne Cipher auch deaktivieren:

about:config
Suche nach rc4 bzw. security.ssl3. -> True bedeutet der Cipher ist aktiviert... habt ihr RC4 u.U. deaktiviert?

Gruss,
Thorsten

P.S. In der Präsentation auf der ConnectED werden folgende Cipher empfohlen (Quelle: http://www.nashcom.de/nshweb/pages/lotusphere.htm)

SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA

[m3]

Ad Ciphers: Sehr empfehlenswert ist die Lektüre des BetterCrypto Guides. Da erklären sie das alles.
https://bettercrypto.org/

Nachdem das ein österr. Projekt ist bin ich gerade in Kommunikation mit den Autoren, hier auch Domino, IHS, ... hinein zu bringen

[schroederk]

Im ersten Schritt gehts um den Traveler-Server, der ja auch Webaccess zur Einrichtung der Smartphones anbietet.
Der steht in der DMZ und bei der Installation wurde der ja nun integrierte IBM HTTP Sever als Proxy aktiviert.
Ich würde schon gerne die Sicherheit erhöhen, aber der Firefox muss das Zertifikat akzeptieren und anzeigen.
Im FF sind die RC4 übrigens aktiviert.

Kurzfristig muss ich aber auch einen Mail-Server mit Webaccess (ein paar erlaubte Mailboxen) umstellen. Ob ich da den HTTP Proxy nachträglich aktivieren kann?

Merkwürdig dass auf der ConnectED Cipher empfohlen werden, die mit der BEAST-Attack als unsicher gelten.
Und dass nur die beiden RC4 Ciphers erlauben zu einem besseren Ergebnis bei SSLLabs führt, obwohl auch gerade die als nicht sicher gelten sollen.

This server accepts the RC4 cipher, which is weak. Grade capped to B

[Pfefferminz-T]

Wenn ihr den IBM HTTP-Server dort laufen habt, dann wird doch der Domino Server und seine Cipher-Suite gar nicht mehr angesprochen sondern nur der Proxy?

RC4 und AES-Cipher gelten beide nicht mehr als sicher, was soll man also empfehlen? Keine Web-Services mehr anbieten? Der sicherste Weg ist zum aktuellen Zeitpunkt der Betrieb eines ReverseProxy in der DMZ, der die Anfragen an den entweder im Intranet  oder in einer eigenen abgeriegelten Zone stehenden Traveler-Server weiterleitet...

@Martin: Danke für den Link, kannte ich noch nicht. Wäre gut, wenn man da Domino mit reinbringen könnte...