Offenbar getrieben durch die aktuelle Poodle-Attacke auf SSLv3 hat IBM Interim Fixes veröffentlicht, mit denen Domino das SSL-Nachfolgeprotokoll TLS unterstützt. Und zwar erfreulicherweise nicht nur für HTTPS, sondern auch “Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)”.
Gleichzeitig implementiert ist “TLS_FALLBACK_SCSV”, dass eine sichere Herabstufung von TLS-Verbindungen bei Kompatibilitätsproblemen ermöglichen soll. Da Domino allerdings auch mit diesen Fixes das Abschalten von SSLv3 nicht ermöglicht, bin ich nicht 100% sicher, ob Poodle-Attacken in einem Umfeld mit potenziell ungesicherten Browsern komplett verhindert werden. Insofern ist die Implementierung eines Reverse Proxy oder die Verwendung des IBM HTTP Servers mit Domino 9 auf Windows immer noch die technisch beste Wahl.
Verhindert wird durch die Patches jedenfalls, dass Browser, bei denen gemäß den aktuellen Empfehlungen SSLv3 deaktiviert ist, keine Verbindung mehr mit HTTPS-Diensten von Domino aufnehmen können.
Gleichzeitig gibt es jetzt ein Tool, mit dem SHA-2-Zertifikate in die Domino-Keyring-Datei übernommen werden können. Einzelne Anbieter stellen jetzt schon keine SHA-1-Zertifikate mehr aus, was schon zu Komplikationen bei der Einrichtung von HTTPS geführt hat. SHA-2-Support gibt es ausschließlich ab Domino 9.
Die TLS-Fixes gibt es für:
Siehe auch IBM How is IBM Domino impacted by the POODLE attack? – United States und den Blog-Post von Daniel Nashed.