SSL_Disable_Renegotiate – Deaktiviert TLS/SSL‑Renegotiation zum Schutz vor CVE‑2009‑3555

🛠️

Parameter: SSL_Disable_Renegotiate

Kurzbeschreibung: Deaktiviert die TLS/SSL-Renegotiation auf dem Domino-Server (Schutz gegen CVE-2009-3555).

Steckbrief

Parameter	`SSL_Disable_Renegotiate`
Kategorie	Security / TLS
Komponente	Server
Verfügbar seit	8.5
Unterstützte Versionen	9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1
GUI-Entsprechung	Nur notes.ini (keine GUI)
Mögliche Werte	`0` = Renegotiation erlaubt (Standard) • `1` = Renegotiation deaktiviert (empfohlen)

Beschreibung

Während einer aktiven TLS/SSL-Verbindung kann der Client eine erneute Aushandlung der Sitzungs-Parameter (Renegotiation) anstossen. Diese Funktion wurde in CVE-2009-3555 als Angriffsvektor für Man-in-the-Middle-Attacken nachgewiesen. Mit SSL_Disable_Renegotiate=1 lehnt Domino solche Renegotiation-Anforderungen serverseitig ab – das ist die empfohlene Einstellung für alle TLS-terminierten Internet-Tasks (HTTP, IMAP, POP3, SMTP, LDAP). Die Einstellung wirkt nach Restart der jeweiligen Task (z. B. restart task http).

Beispiel-Konfiguration


SSL_Disable_Renegotiate=1

Hinweise & Stolperfallen

Standardwert 0 aus Kompatibilitätsgründen – in produktiven Umgebungen explizit auf 1 setzen.

Greift erst nach Restart der TLS-nutzenden Task.

Ergänzt SSL_Renegotiate_Allowed; bei Konflikten gewinnt SSL_Disable_Renegotiate.

Quelle: HCL KB0036502.