Security certificate expiration messages generated from Domino applets

[Glombi]

Das habe ich via vowe gefunden. Es gilt auch für ältere Domino Versionen!

The certificate for some Java applets in Lotus Domino 6.5.x, Domino 7.0.x, Domino 8.0.x, and Domino 8.5 expired on May 18, 2009. Starting May 19th, Web users will see a dialog with a message similar to one of the following when loading a Web page that contains a Java applet from the Domino server:

"The security certificate has expired or is not yet valid."

"The digital signature was generated with a trusted certificate but has expired or is not yet valid."

Security certificate expiration messages generated from Domino applets (May 18, 2009)

Download re-signed Java applets for Lotus Domino (May 18, 2009)

Andreas

[WernerMo]

Hallo,

das haben wir auch per  (elektronischer) Post (im Rahmen von Passportadvantage) erhalten.

Gruß Werner

[Steffen]

Für Unternehmen ohne Nutzung des HTTP-Tasks ist das doch zu ignorieren , oder?

[WernerMo]

Hallo,

Für Unternehmen ohne Nutzung des HTTP-Tasks ist das doch zu ignorieren , oder?

auch kein Webmail auch kein Intranet?

Gruß Werner

[Steffen]

kein http-Task,
Internetlinks werden über den Internet Explorer gestartet (-> Arbeitsumgebung Internet Browser),
Intranet zumind. nicht innerhalb Notes,
Webmail? also zumind. kein Zugriff übers Web auf Notes.

Ob in irgendwelchen DBs natürlich Javaprogrammierung verwendet wird, kann ich nicht 100% ausschließen. Bekannt ist mir davon nichts.

[blizzard]

naja, wer das noch nicht mitbekommen hat, der wohnt wohl auf dem Mars.

[koehlerbv]

Jo.

http://atnotes.de/index.php/topic,45080.msg289882.html#msg289882
http://atnotes.de/index.php/topic,45079.msg289881.html#msg289881
http://atnotes.de/index.php/topic,45078.msg289880.html#msg289880

By the way: Alle Domino-Admins bedanken sich bei der lieben IBM demnächst für die Fürsorge, die getroffen wurde und den Admins ganz viele und äusserst liebe / interessante / moralisch aufbauende Gespräche mit Mitarbeitern und Vorgesetzten ermöglichen wird.

Dieses Ablaufdatum ist für mich der ultimative Schwachsinn: Wenn erfolgreich gehackt worden sein sollte, dann nützt ein Ablaufdatum nichts mehr. Das ist sowas von Pseudo-Sicherheit, das es schon gen Himmel schreit.

Bernhard

[alexhe]

Ich hab mir die Java Files mal angeschaut. Hab ich das richtig gesehen, dass das nächste Ablaufdatum 2012 stattfinden wird?

[blizzard]

Jo, seh ich auch so Bernhard.

[Glombi]

Ich hab mir die Java Files mal angeschaut. Hab ich das richtig gesehen, dass das nächste Ablaufdatum 2012 stattfinden wird?

Ja, aber

Q: Will this be corrected in a future release?
A: All future releases shipped after May 1st 2009, will include applets signed with a new certificate good through May 2012. This will include 8.0.2 FP2, 8.5 FP1, and 8.5.1.
Additionally, time stamping will be implemented which will suppress warning dialogs even after May 2012 on Browsers running JVM 1.5 and above.

[m3]

Dieses Ablaufdatum ist für mich der ultimative Schwachsinn: Wenn erfolgreich gehackt worden sein sollte, dann nützt ein Ablaufdatum nichts mehr. Das ist sowas von Pseudo-Sicherheit, das es schon gen Himmel schreit.

Dieses "Ablaufen" ist nicht so sinnlos. Gäbe es das nicht, würde viele ihre Zertifikate bis 9999 gültig lassen. Und wie einige cryptographische Ereignisse gezeigt haben, gibt es keine Verschlüsselung die "ewig" sicher ist (http://www.wired.com/threatlevel/2008/12/berlin/). Daher ist ein Ablaufdatum durchaus OK.

Nicht zuletzt stehen die Registries (theoretisch) auch dafür gerade, dass das Zertifikat in Ordnung ist. Und wenn schon die wenigsten Leute in ihrem Browser auch die CRL aktiviert haben, so filtert zumindest das Ablaufdatum einige alte Zertifikate aus.

Des weiteren ist die erneute Ausgabe von Zertifikaten natürlich auch eine Geldeinnamequelle für die Registries . Unzynisch: Bei der Neuausstellung sollte eigentlich auch geprüft werden, ob der Besitzer noch immer der Rechtmäßige ist, ....

[koehlerbv]

Und wie ist dann das zu verstehen, Martin?

Additionally, time stamping will be implemented which will suppress warning dialogs even after May 2012 on Browsers running JVM 1.5 and above.

Nichts gegen Zertifikate an sich, nur derartiges und die Möglichkeit des Wegklickens in Verbindung mit dem gemeinen User, der doch nur in Ruhe arbeiten will und jede aufpoppende Meldung als lästig ansieht ...

Bernhard

[Steffen]

kein http-Task,
Internetlinks werden über den Internet Explorer gestartet (-> Arbeitsumgebung Internet Browser),
Intranet zumind. nicht innerhalb Notes,
Webmail? also zumind. kein Zugriff übers Web auf Notes.

Ob in irgendwelchen DBs natürlich Javaprogrammierung verwendet wird, kann ich nicht 100% ausschließen. Bekannt ist mir davon nichts.

Ich wollte nur kurz als Info mitteilen, dass wir heute, zwei Tage danach, noch kein Problem hatten. (auch keine Meldung)
-> ich habe mir die Files zwar runtergeladen und mit der Anleitung für den Fall der Fälle parat gelegt, aber wo kein Kläger, da kein Richter ;-)

[Micha B]

Mit Domino 8.0.2 kann ich in einer Testumgebung auch bisher ohne Fehler mit DWA zugreifen. 

[pete_bla]

Hi, so erstmal zu dem:

Mit Domino 8.0.2 kann ich in einer Testumgebung auch bisher ohne Fehler mit DWA zugreifen. 

-> iNotes bzw. DWA ist nicht betroffen, sondern die Applets, wie z.B. Die Navigation im Adressbuch (names.nsf) oder die sametime-plugins.

Are iNotes (Domino Web Access) users impacted by this?

iNotes (Domino Web Access) templates do not contain applets and are not impacted. However, if you integrate with a Sametime server, the stlinks.jar is signed and could be impacted by this issue.

http://www-01.ibm.com/support/docview.wss?rs=899&uid=swg24022981

mehr fuchst mich aber, dass wir das bereits in den letzten Wochen ausgerollt haben, und die DOLS'plugins ab dem 12.5. gefixt wurden! 
Aber die nutz doch hoffentlich niemand, und persönlich halte ich das eher für sinnfrei ...
http://www-01.ibm.com/support/docview.wss?rs=899&uid=swg24022981

Important note about DOLS (Domino offline services)An issue was discovered with the posted applets specific to DOLS files where they were missing the appropriate install script and files. This could result in the user seeing an "Install script not found -204" error when first installing the DOLS feature on their workstation." If you do not use or install DOLS, you do not need to take any action. DOLS is an optional server install feature.

The issue impacts the Domino hotfixes (i.e., re-signed DOLS applets) built between May 8th and May 13th. Domino hotfixes built May 14th forward have the correct DOLS XPI files. DOLS customers who applied Domino hotfixes downloaded prior to May 15th should apply the updated XPI files.
Also note that the XPI files for DOLS are used only during first time installation. If users have already installed DOLS, they will not be impacted post May 18th, 2009 since the signing is checked only during DOLS install.

Und ich muss sagen, dass das wohl noch niemandem zuvor Aufgefallen ist, da ich teilweise bei den alten Files Ablaufdati mit 2005 hatte. 

Grüsse, Pete(r)

nachtrag noch:
die "alten" sind ca. 72 kb und am 1.5.09 erstellt,
die neueren "DOLS" am 12.5.09 und ca. 1 MB bis 2 MB gross