Das Notes Forum
HCL Notes / Domino / Diverses => Administration & Userprobleme => Thema gestartet von: schroederk am 25.11.20 - 15:08:10
-
Hallo,
ich habe (endlich) unseren Traveler-Server von 9x auf 11.0.1FP2 gehoben. Der Traveler-Server selber ist auch 11.0.2.0.
Beim Start des HTTP-Tasks erscheinen die Meldungen:
nti_CipherSpecStringToMask> Ignoring invalid SSLCipherSpce value 04
nti_CipherSpecStringToMask> Ignoring invalid SSLCipherSpce value 09
nti_CipherSpecStringToMask> Ignoring invalid SSLCipherSpce value 03
Gefolgt von dann laufenden Meldungen der Clients:
TLS/SSL connection xx.xx.xx.xx -> yy.yy.yy.yy(443) failed with no supported ciphers
TLS/SSL connection xx.xx.xx.xx -> yy.yy.yy.yy(443) failed with prevented inappropriate fallback to TLS 1.0
Wir verwenden bei allen Servern InternetSites-Dokumente, die ich bereits alle mehrfach geprüft habe.
Überall sind dieselben Einstellungen (siehe Anhang).
In der notes.ini habe ich den CipherSpec-Eintrag auskommentiert.
Sicherheitshalber die names.nsf auf den Servern synchronisiert.
HTTP-Task mehrmals beendet/gestartet. Sogar den Server mehrfach neugestartet.
Die drei Meldungen (und die Meldungen der Clients) bekomme ich nicht weg.
Jemand eine Idee?
-
Hast Du Dir den Blog von Daniel Nashed mal angesehen?
http://blog.nashcom.de/nashcomblog.nsf/dx/hcl-domino-11-released.htm (http://blog.nashcom.de/nashcomblog.nsf/dx/hcl-domino-11-released.htm)
-
Vielleicht ist das hilfreich:
https://sitlux02.sit.de/dp-blog/2020/07/14/Deprecated-Ciphers-in-Domino-11/
-
Hast Du Dir den Blog von Daniel Nashed mal angesehen?
http://blog.nashcom.de/nashcomblog.nsf/dx/hcl-domino-11-released.htm (http://blog.nashcom.de/nashcomblog.nsf/dx/hcl-domino-11-released.htm)
Ja, den Blog kenne ich, ich habe ja auch entsprechend der Anleitung die nicht unterstützten Ciphers entfernt. Die dort gezeigte Fehlermeldung entspricht aber auch nicht meinen Ciphers.
-
Vielleicht ist das hilfreich:
https://sitlux02.sit.de/dp-blog/2020/07/14/Deprecated-Ciphers-in-Domino-11/
Von dem dort genannten Problem hatte ich auch schon gelesen, aber dafür einen anderen Workaround gefunden, den ich auch schon probiert habe:
Das Serverdokument öffnen, kurz "InternetSiteDok laden" auf deaktiviert setzen, dann auf Ports -> Internet Ports und dort die Ciphers anpassen, danach das "InternetSiteDok" laden wieder aktivieren und dann das Dokument speichern.
In den Eigenschaften des Felds SSLCiphers stehen keine alten Ciphers mehr:
-
es gibt ja diese Liste: https://testssl.sh/openssl-iana.mapping.html
Ignoring invalid SSLCipherSpce value 04 entspricht 0x04 TLS_RSA_WITH_RC4_128_MD5
Ignoring invalid SSLCipherSpce value 09 entspricht 0x09 TLS_RSA_WITH_DES_CBC_SHA
Ignoring invalid SSLCipherSpce value 03 entspricht 0x03 TLS_RSA_EXPORT_WITH_RC4_40_MD5
Vielleicht gibt es ein Internet Site Dok wo das Feld SSLCiphers noch diese Werte enthält?
-
Dieser KB Artikel beschreibt ein Problem was auf die betroffen Cipher zutrifft:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0068681
-
Ich denke, ich habe die Ursache gefunden.
Ich hatte die Einstellungen / Änderungen immer brav in der names.nsf des Admin-Servers vorgenommen und dann auf dem Traveler-Server mit Pull die Änderungen gezogen, damit ich nicht immer warten muss bis der Server es automatisch macht.
Irgendwann dachte ich, ich schau mal in der names.nsf des Traveler-Servers nach und siehe da, dort gab es doppelte Einträge (keine Replizierkonflikte).
Nachdem ich die doppelten Einträge beseitigt habe, ist das Problem nun weg.