Domino Server: TLS 1.0 abschalten und Cipher Suites anpassen

Ich habe Mitte Dezember das SSL-Zertiikat einer meiner Domino Server (mobil.madicon.de) verlängert und nachfolgend den obligatorischen SSL Server Test von Qualys SSL Labs gestartet.

Hinweis auf drohenden Downgrade wegen TLS 1.0

ergebnis-des-ssl-server-test-warnung-vor-downgrade-wegen-tls-1-0
Ergebnis des SSL Server Test - Warnung vor Downgrade wegen TLS 1.0

Das Rating mit "A+" war zwar OK, aber der (im Screenshot mit dem roten Pfeil markierte) Hinweis auf die ab Januar 2020 erfolgende Herabstufung auf "Grade B" wurde gemeldet. Ursache: mein Domino Server unterstützte noch TLS 1.0!

Dies bestätigte bei den Ergebnissen auch ein Blick in den Bereich "Protocols":

ergebnis-des-ssl-server-test-tls-1-0-ist-aktiv
Ergebnis des SSL Server Test - TLS 1.0 ist aktiv

Zusätzlich sieht man, dass etliche der verwendeten Chiffren als "schwach" eingestuft sind.

Abschalten des TLS 1.0 Protokolls

Hierfür gibt es einen Parameter in der Datei NOTES.INI des Domino Servers:

SSL_DISABLE_TLS_10=1

Dieser Parameter kann z.B. durch das Konfigurationsdokument des Domino Servers aktiviert werden:

NOTES.INI Parameter SSL_DISABLE_TLS_10 im Konfigurationsdokument
NOTES.INI Parameter SSL_DISABLE_TLS_10 im Konfigurationsdokument

Eine weitere Analyse mittels des SSL Server Tests bestätigt die Abschaltung des TLS 1.0 Protokolls.

ergebnis-des-ssl-server-test-tls-1-0-ist-abgeschaltet
Ergebnis des SSL Server Test - TLS 1.0 ist abgeschaltet

Chiffren anpassen

Die aktiv genutzten Chiffren können seit Domino Version 10 wieder im Serverdokument (Register: 'Ports...' -> 'Internet Ports...') angepasst werden.

Die Nutzung des NOTES.INI Parameters "SSLCipherSpec" (ab Domino Version 9.0.1 FP5, mehr Infos hier) ist nicht mehr erforderlich.

ssl-chipher-settings-domino-10-directory
SSL Chipher Settings Domino 10 Directory

ssl-chipher-settings-domino-11-directory
SSL Chipher Settings Domino 11 Directory

Das Ergebnis nach Abschaltung aller durch SSL Server Tests als "schwach" eingestuften Chiffren:

ergebnis-des-ssl-server-test-tls-1-0-deaktiviert-nur-noch-starke-chiffren
Ergebnis des SSL Server Test - TLS 1.0 deaktiviert, nur noch starke Chiffren

Hinweise

  1. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, können möglicherweise ältere Anwendungen oder Devices nicht mehr funktionieren - das sollte überprüft werden.

    Ich selbst nutze nur Traveler (mit HCL Verse auf dem iPhone) und Verse on Premises in aktuellen Browsern - das funktioniert alles einwandfrei.
  2. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, ist zum Abschalten des TLS 1.0 Protokolls NICHT mehr der NOTES.INI Parameter "SSL_DISABLE_TLS_10=1" erforderlich.

Noch etwas...

Vielleicht ist Ihnen im ersten Screenshot die grün (= gute Einstellung des Webservers) hinterlegte Meldung

HTTP Strict Transport Security (HSTS) with long duration deployed on this server

aufgefallen?

ergebnis-des-ssl-server-test-http-strict-transport-security
Ergebnis des SSL Server Test - HTTP Strict Transport Security

Hierdurch wird der Domino Server als Webserver noch etwas sicherer:

HTTP Strict Transport Security (HSTS) is a web security policy mechanism that helps to protect websites against protocol downgrade attacks[1] and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should interact with it using only HTTPS connections, which provide Transport Layer Security (TLS/SSL), unlike the insecure HTTP protocol used alone. HSTS is an IETF standards track protocol and is specified in RFC 6797.

Quelle: HTTP Strict Transport Security

Diese Einstellung kann beim Domino Server durch den Parameter

HTTP_HSTS_MAX_AGE=31536000

in der Datei NOTES.INI festgelegt werden.

N/A
WordPress Cookie Hinweis von Real Cookie Banner