Parameter:
NOCRLCheckKurzbeschreibung: Deaktiviert die Prüfung von Zertifikats-Sperrlisten (CRL) bei SSL/TLS-Verbindungen – sicherheitskritisch, nur bei Bedarf einsetzen
Steckbrief
Parameter | NOCRLCheck |
Kategorie | Security / TLS |
Komponente | Server, Client |
Verfügbar seit | R6 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = CRL-Prüfung aktiv (Standard), 1 = CRL-Prüfung überspringen |
Beschreibung
Mit
NOCRLCheck=1 überspringt Domino/Notes die Prüfung von Certificate Revocation Lists (CRL) bei SSL/TLS-Handshakes. Nützlich, wenn der Server auf isolierten Netzen ohne Internet-Zugang läuft oder die CRL-Endpoints der CA nicht erreichbar sind – dann blockiert die fehlende CRL-Antwort sonst legitime TLS-Verbindungen.Sicherheitstechnisch ist das ein Kompromiss: Widerrufene Zertifikate werden danach nicht mehr abgelehnt. Empfohlen ist daher, stattdessen OCSP-Stapling zu verwenden oder die CRL-Server zumindest temporär erreichbar zu machen.
Beispiel-Konfiguration
NOCRLCheck=1
Hinweise & Stolperfallen
- Aktivierung schwächt TLS-Sicherheit erheblich – dokumentieren und zeitlich begrenzen.
- Sinnvoll z. B. für Air-Gap-Server mit eigener Internal CA und manuellem Revocation-Workflow.
- Für Internet-exponierte Server unbedingt
NOCRLCheck=0belassen.
- Ergänzt sich mit
SSLEnableProxiedConnect,SSLCipherSpecetc.
- Änderung wirkt erst nach Restart der jeweiligen Tasks.