Parameter:
OCSP_NoVerifyKurzbeschreibung: Steuert, ob OCSP-Verifizierung von Zertifikaten übersprungen wird – sicherheitskritisch, nur für abgeschottete Umgebungen oder zur Diagnose.
Steckbrief
Parameter | OCSP_NoVerify |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = OCSP verifizieren (Standard), 1 = OCSP-Prüfung überspringen |
Beschreibung
Während des TLS-Handshakes prüft Domino über OCSP, ob ein vorgelegtes Zertifikat zwischenzeitlich gesperrt wurde. Funktioniert der OCSP-Responder nicht, können TLS-Verbindungen scheitern.
OCSP_NoVerify=1 deaktiviert diese Prüfung global – vergleichbar mit NOCRLCheck, aber gezielt für OCSP. Nur in Air-Gap-Setups oder zur temporären Diagnose nutzen, da widerrufene Zertifikate danach nicht mehr abgelehnt werden.Beispiel-Konfiguration
OCSP_NoVerify=1
Hinweise & Stolperfallen
- Schwächt TLS-Sicherheit erheblich – dokumentieren und zeitlich begrenzen.
- Für Internet-exponierte Server unbedingt
0belassen.
- Ergänzt sich mit
NOCRLCheck,OCSP_CHECK_CLIENT_CERT,LogPrintCertChainErrors.
- Greift nach Restart der nutzenden Tasks (HTTP, SMTP, LDAP).
- Für ausschließlich temporäre Tests besser einen Wartungs-Server verwenden statt produktiv zu schalten.