Parameter:
SSLCipherSpecKurzbeschreibung: Legt die von Domino unterstützten TLS/SSL-Cipher-Suites fest (überschreibt die Standardliste)
Steckbrief
Parameter | SSLCipherSpec |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 9.0.1 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | Hex-String aus 4-stelligen Cipher-IDs, z. B. C030C02FC028C027009F009E |
Beschreibung
SSLCipherSpec ersetzt die von Domino ausgehandelte Standardliste der TLS/SSL-Cipher-Suites durch eine eigene, fest definierte Reihenfolge. Jede Cipher-Suite wird als 4-stellige Hex-ID hintereinander gehängt – die Reihenfolge bestimmt zugleich die Priorität bei der Verhandlung mit dem Client.Typisch wird der Parameter eingesetzt, um ältere/unsichere Cipher (RC4, 3DES, AES-CBC ohne ECDHE) zu deaktivieren oder gezielt nur PFS-fähige AEAD-Cipher zuzulassen.
Beispiel-Konfiguration
# Nur moderne ECDHE-AEAD-Cipher (TLS 1.2) SSLCipherSpec=C030C02FC028C027009F009E
Hinweise & Stolperfallen
- Falscher/leerer Wert → Domino bietet keine Cipher an, TLS-Verbindungen brechen ab.
- Cipher-IDs müssen exakt 4 Hex-Zeichen pro Suite sein (z. B.
C030, nicht0xC030).
- Wirkt nicht für TLS 1.3 – dort über
SSL_DISABLE_TLS_13/ Cipher-Defaults steuern.
- Ergänzt Schalter wie
SSL_DISABLE_TLS_10,SSL_DISABLE_TLS_11,DisableSSLv3.
- Aktuelle Empfehlungen aus der HCL-KB übernehmen (jährlich prüfen!).
- Änderung wirkt erst nach Neustart des HTTP-/SMTP-/IMAP-Tasks.