Parameter:
TLS_ALLOW_RENEGOTIATIONKurzbeschreibung: Erlaubt oder verbietet TLS-Renegotiation auf dem Domino-TLS-Stack (standardmäßig deaktiviert)
Steckbrief
Parameter | TLS_ALLOW_RENEGOTIATION |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = Renegotiation verbieten (Standard), 1 = nur sichere Renegotiation erlauben |
Beschreibung
TLS-Renegotiation kann von Clients oder Servern initiiert werden, um während einer bestehenden Verbindung neue Schlüssel auszuhandeln (z. B. für Client-Zertifikat-Auth nachgelagert). Aufgrund historischer Sicherheitsprobleme (CVE-2009-3555) ist Renegotiation in Domino standardmäßig komplett aus.
Mit
=1 wird nur die durch RFC 5746 abgesicherte Secure Renegotiation aktiviert. Wirklich nötig nur, wenn Legacy-Clients/Tools dies erfordern.Beispiel-Konfiguration
TLS_ALLOW_RENEGOTIATION=0
Hinweise & Stolperfallen
- Werks-Empfehlung:
0lassen.
- Aktivieren nur nach klarer Anforderung und Prüfung der Client-Seite.
- Audit-/PCI-Tools markieren
=1nicht zwingend als Finding, solange RFC 5746 erfüllt ist.
- Greift für alle TLS-Listener (HTTPS, LDAPS, IMAPS, SMTPS).
- Änderung wirkt nach Restart der TLS-nutzenden Tasks.