Das Notes Forum
Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: jenpai69 am 07.05.16 - 12:23:48
-
Hallo zusammen,
ich verstehe nicht warum trotz DISABLE_SSLV3=1 und SSL_DISABLE_TLS_10=1 laut ssllabs.com/ssltest immer noch SSL 3 und TLS 1.0 aktiv sind.
Der Domino Server wird ausschliesslich als SMTP Gateway eingesetzt und hat die Version Release 9.0.1FP5 HF413.
tinfoilsecurity.com/poodle berichtet auch SSL 3 ist aktiv weil folgende Ciphers unterstützt werden:
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Wie von Daniel Nashed emfohlen wird folgende Cipher Satz verwendet:
SSLCIPHERSPEC=9D9C3D3C352F0A3339676B9E9F
http://blog.nashcom.de/nashcomblog.nsf/dx/first-perfect-forward-secrecy-ciphers-shipped-with-9.0.1-fp3-if2.htm
Ich habe auch weiter Einstellungen vorgenommen, wie auf dieser Seite beschrieben:
http://blog.nashcom.de/nashcomblog.nsf/dx/domino-9.0.1-fp4-if2-security-update.htm?opendocument&comments#anc1
Server wurde mehrmals neu gestartet.
Kann mir jemand einen Tipp geben ?
Danke im Vorraus.
-
Was mich auch beunruhigt sind eine Logeinträge wie :
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv2 connection
oder auch
TLS/SSL connection xxx.xxx.xxx.xxx(45537) -> xx.xx.xx.xx(25) failed with rejected SSLv3 connection
Aber erst nachdem ich den HF413 installiert habe und SSL_Trace_KeyFileRead=1 gesetzt habe.
SSLv2 ist disabled --> das ist logisch
SSLv3 soll aber noch enabled sein --> kann doch dann eigentlich nicht rejected werden.
Hat hier jemand eine Erklärung?
Danke.
-
Also wenn du die aktuelle build installierst und die SSLCipherSpec nicht modifiziert (keinen speziellen Eintrag in der ini), brauchst du eigentlich nur
HTTP_HSTS_MAX_AGE=17280000
HTTP_HSTS_INCLUDE_SUBDOMAINS=1
in der ini einzufügen und den http neu starten.
Dann bekommst du auch ein "A+".