Posts Tagged: ‘https’

IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern

8. Januar 2018 Posted by Oliver Regelmann

Mitte Dezember wurde öffentlich, dass eine im Grunde 19 Jahre alte Sicherheitslücke in TLS immer noch in zahlreichen HTTP-Servern existiert:

heise Security: ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch

Man kann seine(n) HTTPS-Server auf Verwundbarkeit testen, indem man die Checks von https://robotattack.org/ oder https://www.ssllabs.com/ssltest/ verwendet.

Für IBM Domino gab und gibt es bis zum jetzigen Zeitpunkt keinen direkten Fix. Man kann das Problem aber umgehen, indem man die Verwendung der verwundbaren RSA-Ciphers deaktiviert. Das geht seit 9.0.1 FP3 mit Hilfe des ini-Parameters SSLCipherSpec. Eine komplette Doku davon gibt es hier. Man muss die Default-Liste der unterstützten Ciphers anpassen, indem man den Parameter nur noch mit den gewollten Werten setzt und den HTTP neustartet.

Hiermit werden z.B. nur noch die DHE und ECDHE-Ciphers unterstützt und der Server ist nicht mehr für ROBOT anfällig (9.0.1 FP5 und höher vorausgesetzt):

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
restart task http

Das betrifft nur Domino-Server, die direkt aus dem Internet erreichbar sind, ohne z.B. eine Reverse Proxy davor.

Vorsicht geboten ist dann, wenn nicht ausgeschlossen werden kann, dass Clients auf den Server zugreifen, die weder DHE noch ECDHE unterstützen. Aber die sollte es heute eigentlich nicht mehr geben. Und wenn doch, ist das ein ganz eigenes Problem.

Der Beitrag IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern
Tags: , , , ,
Categories: Allgemein

Apple verschiebt die ATS-Deadline

22. Dezember 2016 Posted by Oliver Regelmann

Auf der WWDC 2016 hatte Apple angekündigt, ab 01. Januar 2017 erhöhte Anforderungen an die SSL-Verschlüsselung der Kommunikation zwischen iOS-Apps und Webservern  zu stellen. Diese Deadline wurde zwar jetzt auf unbestimmte Zeit verschoben, dennoch kann man das zum Anlass nehmen, seine Webserver (in unserem Fall z.B. Domino, Traveler, Connections, Sametime, ELO) oder Reverse-Proxys auf diese Anforderungen zu prüfen:

  • gültige, vertrauenswürdige, nicht abgelaufene Zertifikate
  • Unterstützung von TLS 1.2 mit PFS
  • SHA-2 Signaturalgorithmus

Ein guter erster Schritt dafür ist der Aufruf des SSL-Tests von SSLLabs.

IBM hat ein Video zur Umsetzung mit Domino/Traveler veröffentlicht. How to remediate issues found when securing your IBM Traveler mobile applications – YouTube.  Zu Connections hatten wir hier schonmal auf eine entsprechende Technote verwiesen.

Der Beitrag Apple verschiebt die ATS-Deadline erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für Apple verschiebt die ATS-Deadline
Tags: , , , ,
Categories: Allgemein

Prüfen der SSL-Voraussetzungen für IBM Connections Mobile

14. November 2016 Posted by Oliver Regelmann

IBM hat eine Technote veröffentlicht, in der die Voraussetzungen an die HTTPS-Einrichtung aufgeführt werden, die für die Nutzung der Connections Mobile Apps ab 1. Januar erforderlich sind. Dazu gehören u.a.:

  • gültige, nicht abgelaufene Zertifikate
  • TLS 1.2
  • eine Reihe von unterstützten Cipher Suites
  • SHA-2 Signaturalgorithmus

Die Seite zeigt detailliert, wie man seine vorhandene Umgebung darauf prüfen kann.

IBM Securing connections for IBM Connections mobile applications (Action Required by January 1, 2017) – Deutschland

Der Beitrag Prüfen der SSL-Voraussetzungen für IBM Connections Mobile erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für Prüfen der SSL-Voraussetzungen für IBM Connections Mobile
Tags: , , ,
Categories: Allgemein

Künftige HTTPS-Anforderungen an Traveler-Server

4. Oktober 2016 Posted by Oliver Regelmann

IBM hat eine Technote veröffentlicht, in der detailliert auf Anforderungen hingewiesen wird, die Traveler-Server ab Anfang Januar 2017 erfüllen müssen, damit die dann aktuellen Verse-, Companion- und To-Do-Apps weiterhin einwandfrei funktionieren:

In the coming months, IBM will be enhancing the IBM Verse for iOS, IBM Verse for Android, IBM Notes Traveler Companion and IBM Notes Traveler To Do mobile apps to require that a secure connection be used between the mobile app and the endpoint used for connecting to the IBM Traveler server.
This article describes the security requirements with step-by-step instructions for ensuring that your on-premises IBM Traveler environment has adequate connection security in place to support these updated apps.

IBM Securing connections for IBM Traveler mobile applications (Action Required by January 1, 2017)

Die Lektüre und Prüfung der eigenen Umgebung sei jedem hiermit empfohlen.

Der Beitrag Künftige HTTPS-Anforderungen an Traveler-Server erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für Künftige HTTPS-Anforderungen an Traveler-Server
Tags: , , ,
Categories: Allgemein

Fixes für POODLE-Problem im Domino-TLS

21. Dezember 2014 Posted by Oliver Regelmann

Der erst kürzlich eingeführte TLS-Support für Domino ist – neben einigen anderen – anfällig für die sog. POODLE-Attacke. Dadurch ist es erforderlich, bei Domino-basierenden Webservern mit HTTPS-Konfiguration die aktuellsten Interim Fixes zu installieren. Das sind abhängig von der Domino-Version:

  • 9.0.1 Fix Pack 2 Interim Fix 3
  • 9.0 Interim Fix 7
  • 8.5.3 Fix Pack 6 Interim Fix 6
  • 8.5.2 Fix Pack 4 Interim Fix 3
  • 8.5.1 Fix Pack 5 Interim Fix 3

Details in einer Technote.

Zusätzlich kann man SSLv3 auf Serverseite per notes.ini-Parameter deaktivieren:

DISABLE_SSLV3=1

Das steht nicht in der Technote, sondern bei Daniel Nashed.

 

Auch der IHS ist betroffen, kann aber per Konfiguration gesichert werden.

Read full article |Kommentare deaktiviert für Fixes für POODLE-Problem im Domino-TLS
Tags: , , , , ,
Categories: Allgemein