Am Dienstag hat IBM detaillierte neue Richtlinien veröffentlicht, wie die Verbindung zwischen den Smartphones und dem Traveler-Server zu sichern ist. Wenn diese am 01.01. nächsten Jahres nicht eingehalten werden, können sich die Smartphones mit Verse, Traveler oder Companion-App nicht mehr mit dem Traveler Server verbinden.
Die meisten dieser Richtlinien werden eingehalten, indem ein Domino-Server 9.0.1 FP5+ installiert ist und auch sonst common sense die TLS-Konfiguration beherrscht. Ein paar Dinge sind dennoch hervorzuheben:
- TLS-Zertifikat müssen vertrauenswürdig sein. Entweder sind sie von einer vertrauenswürdigen CA erzeugt oder die eigene CA ist auf den Geräten im Truststore
- Die Zertifikate müssen mit SHA-256 oder neuer erzeugt worden sein - das ist zu Beispiel nicht der Fall, wenn sie mit der certsrv.nsf erzeugt wurden
- Die Verbindung muss mit TLS 1.2 hergestellt werden. Geräte, die das nicht unterstützen, können daher keine Verbindung mehr herstellen. Das betrifft zum Beispiel Androiden < 4.1 oder iOS < 5
Wenn wir Sie bei der Prüfung oder Umsetzung der Richtlinie unterstützen können, sind wir gerne für Sie da.
Quellen
Securing connections for IBM Traveler mobile applications
Domino TLS Cipher Configuration
Android SSLSocket Documentation
Update 06.02.2017
Eine aktualisierte Fassung der IBM Technote verschiebt das oben genannte Datum auf unbestimmte Zeit. In einem Webcast zum Thema wurde ein "Datum" Mitte März erwähnt. Es scheint aber, als würde sich IBM an dieser Stelle von Apple abhängig machen, die angekündigt hatten, ab dem 01.01.17 ihre ATS - App Transport Security zwingend machen zu wollen, dies aber nun revidieren.
Auch inhaltlich wurde die Technote stark erweitert, so dass sie nun auch eine Anleitung zur Prüfung und Update enthält, sowie eine gute FAQ.
Wir unterstützen weiterhin gerne bei den notwendigen Maßnahmen. Eine Prüfung der Voraussetzung dauert nicht ganz 15min, eine Behebung ist im Regelfall ebenfalls sehr schnell durchgeführt.
