Parameter:
DISABLE_SSLV3Kurzbeschreibung: Schaltet das veraltete SSLv3-Protokoll für eingehende Domino-SSL/TLS-Verbindungen ab; Pflicht-Parameter zur Abwehr von POODLE.
Steckbrief
Parameter | DISABLE_SSLV3 |
Komponente | Server (alle SSL-fähigen Tasks) |
Kategorie | Security / TLS |
Verfügbar seit | Domino 9.0.1 (mit TLS 1.2-Update; KB0078972) |
Default ältere Versionen | 0 (SSLv3 zugelassen) |
Default ab 12.0.x | SSLv3 ist ohnehin nicht mehr aktiv |
Werte | 0 aus, 1 ein (= SSLv3 abgewiesen) |
Beschreibung
SSLv3 (RFC 6101, 1996) war jahrelang das Fallback-Protokoll bei alten Browsern und SMTP-Implementierungen. Seit dem POODLE-Angriff (Padding Oracle On Downgraded Legacy Encryption, CVE-2014-3566, 2014) gilt SSLv3 als gebrochen. Aktuelle Compliance-Vorgaben (PCI DSS, BSI TR-02102, NIST SP 800-52 Rev. 2) verbieten SSLv3 ausdrücklich.
DISABLE_SSLV3=1 weist den Domino-SSL-Layer an, eingehende SSLv3-Handshakes mit „unsupported protocol“ abzulehnen. Wirkung erst nach Server-Restart. Der Parameter wirkt primär für eingehende Verbindungen – also für alle Domino-Internet-Tasks (HTTP, SMTP, IMAP, POP3, LDAP), die als Server agieren.In der Praxis sollte
DISABLE_SSLV3=1 immer zusammen mit SSL_DISABLE_TLS_10=1 gesetzt werden, um auch TLS 1.0 als unsicheres Vorläufer-Protokoll auszuschließen.Beispiele
Minimalkombination zum Erzwingen von TLS 1.1+ (klassisch für Domino 9.0.1 FP3+):
DISABLE_SSLV3=1 SSL_DISABLE_TLS_10=1
Hinweise
- Server-Restart erforderlich – Wirkt nicht zur Laufzeit; Domino muss komplett neu gestartet werden.
- Eingehend, nicht ausgehend – Der Parameter steuert die Annahme eingehender SSLv3-Verbindungen. Ausgehende Domino-Verbindungen (z. B. Router → fremder SMTP-Server) handeln das Protokoll mit der Gegenstelle aus.
- Ergänzender Schutz – Moderne Clients und Domino selbst erkennen
TLS_FALLBACK_SCSVund verhindern unbeabsichtigte Downgrades zu SSLv3.
- Überprüfung – Externe Tests (z. B. Qualys SSL Labs,
openssl s_client -ssl3 -connect host:443) zeigen, ob SSLv3 wirklich blockiert ist.
- Verwandte Parameter –
SSL_DISABLE_TLS_10,USE_WEAK_SSL_CIPHERS,SSLCipherSpec(überschreibt die Cipher-Liste serverweit).
- Logging – Eine abgewiesene SSLv3-Verbindung erscheint im Domino-Log als TLS-Handshake-Fehler. Mit
DEBUG_SSL_HANDSHAKE=2lassen sich Details mitschneiden.
Quellen (HCL Product Documentation)
- HCL Customer Support – KB0078972 "How to disable the TLS 1.0 protocol" (Applies to: Domino 9.0.1 FP3 IF2, 10.0.x, HCL Domino 11.0.x und höher): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0078972
- HCL Domino 14.5.1 – NOTES.INI Settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/conf_notesinisettings_c.html
- HCL Notes and Domino Wiki – "IBM Notes and Domino Interim Fixes to support TLS 1.2": ds-infolib.hcltechsw.com/ldd/dominowiki.nsf/dx/TLS_1.2