SSL_Renegotiate_Allowed – Erlaubt TLS‑Renegotiation für eingehende Verbindungen

🛠️

Parameter: SSL_Renegotiate_Allowed

Kurzbeschreibung: Erlaubt oder verbietet TLS-Renegotiation für eingehende Verbindungen – Gegenstück zu SSL_Disable_Renegotiate.

Steckbrief

Parameter	`SSL_Renegotiate_Allowed`
Kategorie	Security / TLS
Komponente	Server
Verfügbar seit	9.0
Unterstützte Versionen	9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1
GUI-Entsprechung	Nur notes.ini (keine GUI)
Mögliche Werte	`0` = nicht erlaubt (empfohlen) • `1` = erlaubt

Beschreibung

SSL_Renegotiate_Allowed ist die positive Variante von SSL_Disable_Renegotiate und steuert, ob Clients während einer bestehenden TLS-Sitzung eine Neuaushandlung der Verschlüsselungsparameter anstossen dürfen. Aus Sicherheitsgründen (CVE-2009-3555) sollte Renegotiation deaktiviert sein – Wert 0. Bei sehr alten Clients oder spezifischen Mutual-TLS-Szenarien (Client-Zertifikats-Anforderung mitten in der Sitzung) kann 1 notwendig sein, ist aber als Ausnahme zu behandeln.

Beispiel-Konfiguration


SSL_Renegotiate_Allowed=0

Hinweise & Stolperfallen

Default verhalten kann je nach Domino-Version abweichen – explizit setzen.

Greift nach Restart der TLS-Task.

Wirkt mit SSL_Disable_Renegotiate zusammen; bei Widerspruch gewinnt das Disable.

Mutual-TLS / Client-Cert-Auth bei manchen Setups testen, bevor 0 gesetzt wird.