Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Domino 9.0.1FP4: Not support Forward Secrecy

(1/2) > >>

Ice-Tee:
Hallo, unter https://www.ssllabs.com/ssltest/ bekomme ich nach der Installation des FP4 nur noch ein "A-".
Der Grund: "Not support Forward Secrecy".
Hm, vor dem FP4 ging das noch.
Die SSLCipherSpec stand auf = 9F9E6B3967339D9C3D3C3933 und dann habe ich nur ein "B" Ergebnis erhalten.
Nach dem ich den Eintrag auskommentiert habe, bekomme ich wie gesagt das "A-".
Weiß jemand warum das so ist und wie aktiviere ich wieder "Forward Secrecy"?

Danke.

Tode:
Diese cipher können nur mit dem von Dir genannten INI- Eintrag eingeschaltet werden. das sind im speziellen
--- Zitat ---In addition to that you have the folllowing new DHE ciphers available.
33 - DHE_RSA_WITH_AES_128_CBC_SHA
39 - DHE_RSA_WITH_AES_256_CBC_SHA
67 - DHE_RSA_WITH_AES_128_CBC_SHA256
6B - DHE_RSA_WITH_AES_256_CBC_SHA256
9E - DHE_RSA_WITH_AES_128_GCM_SHA256
9F - DHE_RSA_WITH_AES_256_GCM_SHA384
--- Ende Zitat ---

Auszug aus diesem Artikel von Daniel Nashed

Wenn Du Java verwendest, musst Du ausserdem
SSL_DH_KEYSIZE=1024
setzen.

Hier habe ich auch mal mein Vorgehen für ein "A" beschrieben:
- Erst mal alle möglichen Cipher setzen
- Dann bei SSL- Labs testen, welche Cipher für welches Betriebssystem / Endgerät benötigt werden
- Entscheiden, was man unterstützen will, und einen "kleinstmöglichen" Nenner finden. Alle anderen Ciphers wieder aus der INI rausschmeissen

Pfefferminz-T:
Hier gibt es auch noch die Informationen:

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration

Die Priorität sollte auch nicht allein das Rating bei ssllabs vorgeben. Viel wichtiger ist, welche Cipher Deine Clients unterstützen, die auf das System zugreifen... und das musst Du durch testen dann selber rausfinden.

Gruss,
Thorsten

Ice-Tee:
Danke, das war mir klar.
Nur bekomme ich es nicht hin ein "A" zu bekommen. Egal, was ich für eine Kombination einstelle.
Und das erst nach der Installation des FP4.
Wie gesagt, mit dem FP3 war das kein Problem. Ich habe doch auch die selbe SSLCipherSpec in der notes.ini gelassen. Nr scheint sich nach dem FP4 etwas grundlegendes bezüglich SSL mal wieder geändert zu haben. Und genau das war mein eigentliches Anliegen.
Kann das jemand bestätigen? Das er mit den selben SSLCipherSpec in der notes.ini nach dem FP4 kein "A" mehr bekommt, da "Forward Secrecy" nun plötzlich nicht mehr unterstützt wird?
Kann doch nur ein Bug sein - oder?

Tode:
Kann ich nicht bestätigen: Mein Server IST auf 9.0.1FP4 und ich habe immer noch ein A.

Vielleicht liegt es daran, dass Deine SSLCipherSpec sowohl die 33 als auch die 39 doppelt enthält...

Navigation

[0] Themen-Index

[#] Nächste Seite