Wie unterstützt ihr TLS?

Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

(1/2) > >>

schroederk:
Hallo,

nachdem uns eine unserer Banken angeschrieben hat, dass sie mit uns nur noch über TLS kommunizieren wird, sahen wir uns erstmalig gezwungen, auf unserem Domino überhaupt TLS zu aktivieren.

D.h im Configuration Document unter Router/SMTP -> Advanced -> Commands and Extensions haben wir "SSL negotiated over TCP/IP port" aktiviert und im Server Document unter Ports -> Internet Ports -> Mail haben wir SMTP Inbound eingeschaltet (SSL port number 465).
Outbound haben wir weiterhin deaktiviert.
In der Notes.ini ist der folgende Eintrag gesetzt: ROUTERFALLBACKNONTLS=1

Jetzt fallen mir aber sehr viele Einträge im Log des Servers auf:
TLS/SSL connection xx.xx.xx.xx(21820) -> xx.xx.xx.xx(25) failed with rejected SSLv2 record

Versuchen die tatsächlich zwar verschlüsselt zu senden, aber mit diesem Steinzeit-Protokoll von vor 20 Jahren oder mehr?
Wieso funktionierte vorher ein Fallback auf unverschlüsselt, als TLS nicht enabled war, aber jetzt kein Fallback mehr?
Muss ich jetzt alle anschreiben, sie mögen doch bitte in diesem Jahrhundert ankommen und wenigstens den minimalen Standard unterstützen
oder bin ich da vielleicht doch total auf dem Holzweg?

shiraz:
IBM hat auch lange gebraucht um diese möglich zu machen .....

schroederk:
Also heißt das, ich musss die alle anschreiben?

Haltet es ihr für sinnvoll, wenn ich dem Domino auch SSLv2 erlaube?

Blöd, dass bei deaktiviertem TLS der Fallback auf unverschlüsselt funktioniert, aber nicht wenn es bei TLS ein Problem gibt (welcher Natur auch immer).

ra.t:
Hallo...,
so eine Anforderung habe ich auch auf meinem Tisch.

Mustest du ein SSL-Zertifikat vorher auf dem Domino eintragen, auch wenn nur verschlüsselt empfangen werden soll ? Oder funktioniert das auch ohne (von den Fehlermeldungen des SMTP Task mal abgesehen)

Mfg
Ralf

schroederk:
Da der Server ohnehin schon ein SSL-Zertifikat verpasst bekommen hatte (für den Webaccess einzelner User), musste ich mir keine Gedanken machen.
Ich bin der Technote von IBM gefolgt: http://www-01.ibm.com/support/docview.wss?uid=swg21108352

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln