Parameter:
SSL_Enable_Insecure_Renegotiate_ClientsKurzbeschreibung: Erlaubt Altclients ohne RFC 5746-Unterstützung weiterhin unsichere TLS-Renegotiation – nur als temporärer Übergang einsetzen
Steckbrief
Parameter | SSL_Enable_Insecure_Renegotiate_Clients |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = nur sichere Renegotiation (empfohlen), 1 = Altclients zulassen |
Beschreibung
Nach dem CVE-2009-3555-Renegotiation-Angriff darf TLS-Renegotiation nur noch nach RFC 5746 erfolgen. Sehr alte Clients/Bibliotheken können diese Erweiterung nicht und brechen den Handshake ab.
SSL_Enable_Insecure_Renegotiate_Clients=1 lockert die Prüfung – öffnet aber wieder die alte Schwachstelle.Einsetzen nur zur Überbrückung, bis die letzten Altclients abgelöst sind.
Beispiel-Konfiguration
SSL_Enable_Insecure_Renegotiate_Clients=1
Hinweise & Stolperfallen
- Sicherheitsrisiko (MITM-Renegotiation) – dokumentieren und Ausstiegsdatum festhalten.
- Ergänzt sich mit
TLS_ALLOW_RENEGOTIATION,SSL_DISABLE_TLS_*,TLSCipherList.
- Nicht mit modernen Browsern erforderlich – betrifft praktisch nur uralte Notes-Clients/Drittlibs.
- Audit über
DEBUG_TLS=1zeigt Renegotiation-Versuche.
- Änderung wirkt nach Restart des HTTP-/SMTP-/LDAP-Tasks.