[gelöst] SSL Probleme nach Update auf Domino 9.0.1 FP3

[werfi]

Hallo,

ich habe am Wochenende unsere Dominoserver auf V9.0.1 FP3 HF239/241 migriert.
Soweit läuft alles, bis auf den Zugriff des Firefox auf Dominoserver.
Wir lassen generell nur SSL gesicherten Zugriff zu.
Beim Versuch auf den Domino zuzugreifen, bringt der Firefox folgende Meldung "Fehlercode: ssl_error_illegal_parameter_alert". Im Domino Log steht folgendes dazu:

24.04.2015 12:39:13   TLS/SSL connection 10.xxx.xxx.xxx(443)-10.xxx.xxx.xxx(54229) failed with server certificate chain signature alogrithms NOT supported by client
24.04.2015 12:39:13   TLS/SSL connection 10.xxx.xxx.xxx(443)-10.xxx.xxx.xxx(54229) failed with server certificate chain requiring support for MD5

Mit einem Debug-Parameter habe ich noch zusätzliche Informationen gewonnen:

[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 0 Available cipherspec: 0x009D
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 1 Available cipherspec: 0x009C
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 2 Available cipherspec: 0x003D
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 3 Available cipherspec: 0x0035
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 4 Available cipherspec: 0x003C
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 5 Available cipherspec: 0x002F
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLInitContext> 6 Available cipherspec: 0x000A
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_TRUSTPOLICY>  bits for signature hashes: 0002
[1290:000F-07DC] 24.04.2015 12:50:52,48 int_MapSSLError> Mapping SSL error 0 to 0 [SSLNoErr]
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> Enter
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> Current Cipher 0x0000 (Unknown Cipher)
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> outgoing ->protocolVersion: 0303
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSLSendAlert> Sending an alert of 0x0 (close_notify) level 0x2 (fatal)
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> After handshake state= 2 Status= -5000
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> Exit Status = -5000
[1290:000F-07DC] 24.04.2015 12:50:52,48 int_MapSSLError> Mapping SSL error -5000 to 4176 [SSLHandshakeNoDone]
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> Enter
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> Current Cipher 0x0000 (Unknown Cipher)
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> After handshake2 state 2
[1290:000F-07DC] 24.04.2015 12:50:52,48 SSL_Handshake> SSL Error: -6989
[1290:000F-07DC] 24.04.2015 12:50:52,48 int_MapSSLError> Mapping SSL error -6989 to 4165 [SSLConnectionClosedError ]

Da ich in dem Thema nicht ganz so tief drin bin, stehe ich jetzt etwas ratlos da.
Ist das ein Problem des Domino oder des Firefox?

Im IE bekomme ich eine Zertifikatswarnung, wenn ich die bestätige, kann ich die Seite ganz normal öffnen.

Danke für Eure Unterstützung!

Gruß
Markus

[Ice-Tee]

Nutz du ein SHA-1 Zertifikat?
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

[werfi]

Das ist das Problem.
Danke für den Hinweis!

Da es sich um ein Self-Certified Certificate handelt, würde ich gern auch ein neues erstellen, aber ich kann ja nirgends auswählen, welchen Algorythmus ich verwenden möchte.
Wie bekomme ich die DB "Server Certificate Admin" dazu ein entsprechendes Zertifikat zu erstellen?

Gruß Markus

[Ice-Tee]

http://www-10.lotus.com/ldd/dominowiki.nsf/m_Home.xsp?documentId=B28BEC96CB4E1E6A85257DA1006B0545#mobileViewer

[werfi]

http://www-10.lotus.com/ldd/dominowiki.nsf/m_Home.xsp?documentId=B28BEC96CB4E1E6A85257DA1006B0545#mobileViewer

Danke für die Info

Gruß
Markus

[Ice-Tee]

Gerne. Ist aber sehr tricky das Ganze. Wenn man es dann aber einmal erfolgreich am laufen hat, sind die weiteren Zertifikate nur noch Kinderkram.
Gutes Gelingen.

[werfi]

Mit einem neuen Zertifikat und dem Kyrtool hat es geklappt.

Gruß
Markus