Domino Server: TLS 1.0 abschalten und Cipher Suites anpassen
Herzlich Willkommen!/Tipps & Tricks/Domino Server: TLS 1.0 abschalten und Cipher Suites anpassen

Domino Server: TLS 1.0 abschalten und Cipher Suites anpassen

Ich habe Mitte Dezember das SSL-Zertiikat einer meiner Domino Server (mobil.madicon.de) verlängert und nachfolgend den obligatorischen SSL Server Test von Qualys SSL Labs gestartet.
 

Hinweis auf drohenden Downgrade wegen TLS 1.0

notion image
Ergebnis des SSL Server Test - Warnung vor Downgrade wegen TLS 1.0
 
Das Rating mit "A+" war zwar OK, aber der (im Screenshot mit dem roten Pfeil markierte) Hinweis auf die ab Januar 2020 erfolgende Herabstufung auf "Grade B" wurde gemeldet. Ursache: mein Domino Server unterstützte noch TLS 1.0!
Dies bestätigte bei den Ergebnissen auch ein Blick in den Bereich "Protocols":
notion image
Ergebnis des SSL Server Test - TLS 1.0 ist aktiv
 
Zusätzlich sieht man, dass etliche der verwendeten Chiffren als "schwach" eingestuft sind.
 

Abschalten des TLS 1.0 Protokolls

Hierfür gibt es einen Parameter in der Datei NOTES.INI des Domino Servers:
SSL_DISABLE_TLS_10=1
Dieser Parameter kann z.B. durch das Konfigurationsdokument des Domino Servers aktiviert werden:
notion image
NOTES.INI Parameter SSL_DISABLE_TLS_10 im Konfigurationsdokument
 
Eine weitere Analyse mittels des SSL Server Tests bestätigt die Abschaltung des TLS 1.0 Protokolls.
notion image
Ergebnis des SSL Server Test - TLS 1.0 ist abgeschaltet
 

Chiffren anpassen

Die aktiv genutzten Chiffren können seit Domino Version 10 wieder im Serverdokument (Register: 'Ports...' -> 'Internet Ports...') angepasst werden.
Die Nutzung des NOTES.INI Parameters "SSLCipherSpec" (ab Domino Version 9.0.1 FP5, mehr Infos hier) ist nicht mehr erforderlich.
notion image
SSL Chipher Settings Domino 10 Directory
 
notion image
SSL Chipher Settings Domino 11 Directory
 
Das Ergebnis nach Abschaltung aller durch SSL Server Tests als "schwach" eingestuften Chiffren:
notion image
Ergebnis des SSL Server Test - TLS 1.0 deaktiviert, nur noch starke Chiffren
 

Hinweise

  1. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, können möglicherweise ältere Anwendungen oder Devices nicht mehr funktionieren - das sollte überprüft werden.Ich selbst nutze nur Traveler (mit HCL Verse auf dem iPhone) und Verse on Premises in aktuellen Browsern - das funktioniert alles einwandfrei.
  1. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, ist zum Abschalten des TLS 1.0 Protokolls NICHT mehr der NOTES.INI Parameter "SSL_DISABLE_TLS_10=1" erforderlich.
 

Noch etwas...

Vielleicht ist Ihnen im ersten Screenshot die grün (= gute Einstellung des Webservers) hinterlegte Meldung
HTTP Strict Transport Security (HSTS) with long duration deployed on this server
aufgefallen?
notion image
Ergebnis des SSL Server Test - HTTP Strict Transport Security
 
Hierdurch wird der Domino Server als Webserver noch etwas sicherer:
HTTP Strict Transport Security (HSTS) is a web security policy mechanism that helps to protect websites against protocol downgrade attacks[1] and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should interact with it using only HTTPS connections, which provide Transport Layer Security (TLS/SSL), unlike the insecure HTTP protocol used alone. HSTS is an IETF standards track protocol and is specified in RFC 6797.
Quelle: HTTP Strict Transport Security
Diese Einstellung kann beim Domino Server durch den Parameter
HTTP_HSTS_MAX_AGE=31536000
in der Datei NOTES.INI festgelegt werden.