DISABLE_SSLV3=1 zieht nicht ...

[jenpai69]

Hallo zusammen,

ich verstehe nicht warum trotz DISABLE_SSLV3=1 und SSL_DISABLE_TLS_10=1 laut ssllabs.com/ssltest immer noch SSL 3 und TLS 1.0 aktiv sind.
Der Domino Server wird ausschliesslich als SMTP Gateway eingesetzt und hat die Version Release 9.0.1FP5 HF413.

tinfoilsecurity.com/poodle berichtet auch SSL 3 ist aktiv weil folgende Ciphers unterstützt werden:
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Wie von Daniel Nashed emfohlen wird folgende Cipher Satz verwendet:
SSLCIPHERSPEC=9D9C3D3C352F0A3339676B9E9F
http://blog.nashcom.de/nashcomblog.nsf/dx/first-perfect-forward-secrecy-ciphers-shipped-with-9.0.1-fp3-if2.htm

Ich habe auch weiter Einstellungen vorgenommen, wie auf dieser Seite beschrieben:
http://blog.nashcom.de/nashcomblog.nsf/dx/domino-9.0.1-fp4-if2-security-update.htm?opendocument&comments#anc1

Server wurde mehrmals neu gestartet.

Kann mir jemand einen Tipp geben ?
Danke im Vorraus.

[jenpai69]

Was mich auch beunruhigt sind eine Logeinträge wie :
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv2 connection
oder auch
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv3 connection

Aber erst nachdem ich den HF413 installiert habe und SSL_Trace_KeyFileRead=1 gesetzt habe.

SSLv2 ist disabled --> das ist logisch
SSLv3 soll aber noch enabled sein --> kann doch dann eigentlich nicht rejected werden.

Hat hier jemand eine Erklärung?
Danke.

[Ice-Tee]

Also wenn du die aktuelle build installierst und die SSLCipherSpec nicht modifiziert (keinen speziellen Eintrag in der ini), brauchst du eigentlich nur
HTTP_HSTS_MAX_AGE=17280000
HTTP_HSTS_INCLUDE_SUBDOMAINS=1
in der ini einzufügen und den http neu starten.
Dann bekommst du auch ein "A+".