Domino 9.0.1FP4: Not support Forward Secrecy

[Ice-Tee]

Hallo, unter https://www.ssllabs.com/ssltest/ bekomme ich nach der Installation des FP4 nur noch ein "A-".
Der Grund: "Not support Forward Secrecy".
Hm, vor dem FP4 ging das noch.
Die SSLCipherSpec stand auf = 9F9E6B3967339D9C3D3C3933 und dann habe ich nur ein "B" Ergebnis erhalten.
Nach dem ich den Eintrag auskommentiert habe, bekomme ich wie gesagt das "A-".
Weiß jemand warum das so ist und wie aktiviere ich wieder "Forward Secrecy"?

Danke.

[Tode]

Diese cipher können nur mit dem von Dir genannten INI- Eintrag eingeschaltet werden. das sind im speziellen

In addition to that you have the folllowing new DHE ciphers available.
33 - DHE_RSA_WITH_AES_128_CBC_SHA
39 - DHE_RSA_WITH_AES_256_CBC_SHA
67 - DHE_RSA_WITH_AES_128_CBC_SHA256
6B - DHE_RSA_WITH_AES_256_CBC_SHA256
9E - DHE_RSA_WITH_AES_128_GCM_SHA256
9F - DHE_RSA_WITH_AES_256_GCM_SHA384

Auszug aus diesem Artikel von Daniel Nashed

Wenn Du Java verwendest, musst Du ausserdem
SSL_DH_KEYSIZE=1024
setzen.

Hier habe ich auch mal mein Vorgehen für ein "A" beschrieben:
- Erst mal alle möglichen Cipher setzen
- Dann bei SSL- Labs testen, welche Cipher für welches Betriebssystem / Endgerät benötigt werden
- Entscheiden, was man unterstützen will, und einen "kleinstmöglichen" Nenner finden. Alle anderen Ciphers wieder aus der INI rausschmeissen

[Pfefferminz-T]

Hier gibt es auch noch die Informationen:

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration

Die Priorität sollte auch nicht allein das Rating bei ssllabs vorgeben. Viel wichtiger ist, welche Cipher Deine Clients unterstützen, die auf das System zugreifen... und das musst Du durch testen dann selber rausfinden.

Gruss,
Thorsten

[Ice-Tee]

Danke, das war mir klar.
Nur bekomme ich es nicht hin ein "A" zu bekommen. Egal, was ich für eine Kombination einstelle.
Und das erst nach der Installation des FP4.
Wie gesagt, mit dem FP3 war das kein Problem. Ich habe doch auch die selbe SSLCipherSpec in der notes.ini gelassen. Nr scheint sich nach dem FP4 etwas grundlegendes bezüglich SSL mal wieder geändert zu haben. Und genau das war mein eigentliches Anliegen.
Kann das jemand bestätigen? Das er mit den selben SSLCipherSpec in der notes.ini nach dem FP4 kein "A" mehr bekommt, da "Forward Secrecy" nun plötzlich nicht mehr unterstützt wird?
Kann doch nur ein Bug sein - oder?

[Tode]

Kann ich nicht bestätigen: Mein Server IST auf 9.0.1FP4 und ich habe immer noch ein A.

Vielleicht liegt es daran, dass Deine SSLCipherSpec sowohl die 33 als auch die 39 doppelt enthält...

[Ice-Tee]

Kann ich nicht bestätigen: Mein Server IST auf 9.0.1FP4 und ich habe immer noch ein A.

Vielleicht liegt es daran, dass Deine SSLCipherSpec sowohl die 33 als auch die 39 doppelt enthält...

Tode, welche SSLCipherSpec verwendest du genau?

[Ice-Tee]

Sooo...
Der kleinste gemeinsamer Nenner für ein "A" mit Unterstützung von "Forward Secrecy" lautet:
SSLCipherSpec=9F9E6B396739

Nur blöd, das viele Browser damit augeschlossen werden. Na ja, einen Tod muss man sterben.

[Tode]

Siehe Link in meinem Beitrag:

Meine persönliche SSL- Config sieht nun so aus:
DISABLE_SSLV3=1
SSL_DISABLE_TLS_10=1
SSLCipherSpec=9F9E393D6B

Also ich habe sogar noch einen weniger drin (den 67)

[Ice-Tee]

Siehe Link in meinem Beitrag:

Meine persönliche SSL- Config sieht nun so aus:
DISABLE_SSLV3=1
SSL_DISABLE_TLS_10=1
SSLCipherSpec=9F9E393D6B

Also ich habe sogar noch einen weniger drin (den 67)

Eigentlich richtig. Nur leider nicht immer realisierbar aus Gründen der Abwärtskombatibilität.
Danke.