Mitte Dezember wurde öffentlich, dass eine im Grunde 19 Jahre alte Sicherheitslücke in TLS immer noch in zahlreichen HTTP-Servern existiert:

heise Security: ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch

Man kann seine(n) HTTPS-Server auf Verwundbarkeit testen, indem man die Checks von https://robotattack.org/ oder https://www.ssllabs.com/ssltest/ verwendet.

Für IBM Domino gab und gibt es bis zum jetzigen Zeitpunkt keinen direkten Fix. Man kann das Problem aber umgehen, indem man die Verwendung der verwundbaren RSA-Ciphers deaktiviert. Das geht seit 9.0.1 FP3 mit Hilfe des ini-Parameters SSLCipherSpec. Eine komplette Doku davon gibt es hier. Man muss die Default-Liste der unterstützten Ciphers anpassen, indem man den Parameter nur noch mit den gewollten Werten setzt und den HTTP neustartet.

Hiermit werden z.B. nur noch die DHE und ECDHE-Ciphers unterstützt und der Server ist nicht mehr für ROBOT anfällig (9.0.1 FP5 und höher vorausgesetzt):

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
restart task http

Das betrifft nur Domino-Server, die direkt aus dem Internet erreichbar sind, ohne z.B. eine Reverse Proxy davor.

Vorsicht geboten ist dann, wenn nicht ausgeschlossen werden kann, dass Clients auf den Server zugreifen, die weder DHE noch ECDHE unterstützen. Aber die sollte es heute eigentlich nicht mehr geben. Und wenn doch, ist das ein ganz eigenes Problem.

Weitere Artikel

n-komm übernimmt die Wilsch IT-Services GmbH

Wilsch IT-Services GmbH

Und setzt Ihren Wachstumskurs damit fort.

ELO E-Akte Roadshow 2018

e-akte Veranstaltung

11. April 2018 in Stuttgart
12. April 2018 in München
18. April 2018 in Mainz-Kostheim

n-komm Connect 2018 – Collaboration

n-komm Connect - Collaboration

25. April 2018 in Ettlingen

Feature Pack 10 verursacht größere Probleme

IBM reagiert auf Probleme mit FP10 und stellt Fix bereit.

X[contact-form-7 id="26826" title="Contact form 1"]

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen



© n-komm GmbH 2017