Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Ice-Tee am 08.01.15 - 08:44:49

Titel: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: Ice-Tee am 08.01.15 - 08:44:49

Hallo zusammen,

nach langen Versuchen habe ich nun mit dem kyrtool endlich ein gültiges SHA-2 Zertifikat in den keyring installieren können. Wäre ja mal schön, wenn IBM irgendwo erklärt, das man die Zertifikate alle einzeln importieren muss und nicht wie beschrieben mit "import all".
Wie auch immer habe ich jetzt mein Zertifikat bei https://www.ssllabs.com/ssltest/index.html (https://www.ssllabs.com/ssltest/index.html) getestet und bekomme max. ein B Ergebniss das so aussieht:

(http://fs1.directupload.net/images/150108/e2lsv2qs.png)

Ich verwende:
IBM Domino (r) Server (64 Bit), Release 9.0.1FP2 HF590
Signature algorithm: SHA256withRSA

In notes.ini:
DEBUG_UNSUPPORTED_DISABLE_SSLV3=17
SSL_DISABLE_RENEGOTIATE=1

Ist das der aktuell beste Wert, den ich mit einem Domino 9 erzielen kann (nativ, ohne Proxy etc)?

Danke.

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: Pfefferminz-T am 08.01.15 - 10:46:24

Dazu müsste man die Kriterien kennen, nach denen ssllabs.com seine Einstufung vergibt. Aktuell verhindern sicherlich die ältere TLS-Version (nicht TLS 1.2) und die alten Cipher eine Bestnote...

Gruß,
Thorsten

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: m3 am 08.01.15 - 14:52:31

Ja. Nachdem Domino nativ weder TLS 1.1 noch TLS 1.2 unterstützt, wird Deine Note nicht besser.

Wenn Du TLS 1.2 und TLS 1.3 nativ in Domino haben willst => PMR bei IBM.

Anosnsten zumindest fürs Web einen IHS, Apache, nginx, ... davorschalten.

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: Ice-Tee am 10.01.15 - 17:38:52

Ok, danke.
Sind die letzten drei Infobalken bei meinem Ergebniss noch irgendwie zu eleminieren?

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: Pfefferminz-T am 11.01.15 - 11:35:40

"This server accepts the RC4 cipher":
Nein, solange IBM nicht neue Cipher bereitstellt, ist RC4 der einzige der nicht unsicher ist. Zudem wird RC4 von IBM anders ("besser") implementiert als z.Bsp. von MS. Die Cipher mit weniger Schlüsselstärke und die AES-Cipher (BEAST-Attack) gelten als unsicher.

"There is no support for secure renegotiation":
Über SSL_DISABLE_RENEGOTIATE=1 hast Du Renegotiation komplett deaktiviert.

"Forward Secrecy":
Wird mit den aktuellen FP und IF noch nicht unterstützt. Kann sein, dass hier von IBM aber noch etwas kommt.

Bedeutet zwei der Punkte sind noch ungelöst, der dritte Punkt ist bei Dir deaktiviert (aber damit gibt es eben auch keine sichere Art der Renegotiation).

Gruß,
Thorsten

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: Ice-Tee am 11.01.15 - 14:09:04

Danke für die Hinweise 👍.

Titel: Re: SSL Report auf ssllabs.com - max. B möglich?
Beitrag von: daflunic am 23.01.15 - 11:21:59

Für TLS Support empfehle ich dir folgenden Artikel:
http://www-01.ibm.com/support/docview.wss?uid=swg27039743&aid=1

Durch das Zusatzmodul IHS (IBM HTTP Server) kannst du auf TLS umstellen.
Alternativ wie m3 bereits sagte: Reverse Proxy davor mit nginx etc...

Gruß,
Christian