Ich suche schon lange nach einer guten und detaillierten Dokumentation für die SSL/TLS Fähigkeiten des Domino HTTP Dienstes. Diese Suche hat im Zusammenhang mit den SSL-bezogenen Sicherheitsproblemen der letzten Monate noch etwas mehr Brisanz gewonnen.
IBM hat nun endlich am Anfang diesen Monats eine solche Dokumentation veröffentlicht. Und da ich davon ausgehe, dass ich nicht der Einzige bin, der danach gesucht hat, möchte ich das unseren Lesern nicht vorenthalten :
TLS Cipher Configuration
Natürlich gilt diese Dokumentation nur für die Domino Versionen ab 9.0.1 FP3 IF2, aber sie wird bestimmt/hoffentlich in der Zukunft aktualisiert.
Mehrere Dinge sind wichtig.
Zum Einen geschieht die Konfiguration nicht mehr über das Serverdokument, sondern ausschließlich über die notes.ini. Zum Anderen sind nicht alle wichtigen Features, wie zum Beispiel Forward Secrecy, im Installationsstandard aktiviert. Das bedeutet, dass zwar die Standardkonfiguration mit Auslieferungszustand solide ist, es sich jedoch dennoch lohnt, sich darüber Gedanken zu machen.
Damit kann man den Domino nun übrigens auch weitestgehend entsprechend den Empfehlungen des BSI konfigurieren. Dazu gehört aber auch, dass SSLv3 und TLS 1.0 deaktiviert werden.
Wer sein Zertifikat mit der Cert-Admin-DB angelegt hat, sollte es erneut anlegen, um den aktuelleren Hash SHA256 nutzen zu können.
Domino Server NICHT neustarten (aktualisiert²) - IF installieren!
HCL informiert über einen kritischen Fehler, der zu Routingfehlern führt Mehr