Autor Thema: DISABLE_SSLV3=1 zieht nicht ...  (Gelesen 2971 mal)

Offline jenpai69

  • Frischling
  • *
  • Beiträge: 10
  • Geschlecht: Männlich
DISABLE_SSLV3=1 zieht nicht ...
« am: 07.05.16 - 12:23:48 »
Hallo zusammen,

ich verstehe nicht warum trotz DISABLE_SSLV3=1 und SSL_DISABLE_TLS_10=1 laut ssllabs.com/ssltest immer noch SSL 3 und TLS 1.0 aktiv sind.
Der Domino Server wird ausschliesslich als SMTP Gateway eingesetzt und hat die Version Release 9.0.1FP5 HF413.

tinfoilsecurity.com/poodle berichtet auch SSL 3 ist aktiv weil folgende Ciphers unterstützt werden:
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Wie von Daniel Nashed emfohlen wird folgende Cipher Satz verwendet:
SSLCIPHERSPEC=9D9C3D3C352F0A3339676B9E9F
http://blog.nashcom.de/nashcomblog.nsf/dx/first-perfect-forward-secrecy-ciphers-shipped-with-9.0.1-fp3-if2.htm

Ich habe auch weiter Einstellungen vorgenommen, wie auf dieser Seite beschrieben:
http://blog.nashcom.de/nashcomblog.nsf/dx/domino-9.0.1-fp4-if2-security-update.htm?opendocument&comments#anc1

Server wurde mehrmals neu gestartet.

Kann mir jemand einen Tipp geben ?
Danke im Vorraus.


Offline jenpai69

  • Frischling
  • *
  • Beiträge: 10
  • Geschlecht: Männlich
Re: DISABLE_SSLV3=1 zieht nicht ...
« Antwort #1 am: 07.05.16 - 20:46:09 »
Was mich auch beunruhigt sind eine Logeinträge wie :
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv2 connection
oder auch
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv3 connection

Aber erst nachdem ich den HF413 installiert habe und SSL_Trace_KeyFileRead=1 gesetzt habe.

SSLv2 ist disabled --> das ist logisch
SSLv3 soll aber noch enabled sein --> kann doch dann eigentlich nicht rejected werden.

Hat hier jemand eine Erklärung?
Danke.

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: DISABLE_SSLV3=1 zieht nicht ...
« Antwort #2 am: 15.05.16 - 19:54:55 »
Also wenn du die aktuelle build installierst und die SSLCipherSpec nicht modifiziert (keinen speziellen Eintrag in der ini), brauchst du eigentlich nur
HTTP_HSTS_MAX_AGE=17280000
HTTP_HSTS_INCLUDE_SUBDOMAINS=1
in der ini einzufügen und den http neu starten.
Dann bekommst du auch ein "A+".

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz