Posts Tagged: ‘sha-2’

Kurzer Nachtrag zum Thema SHA-2

11. November 2014 Posted by Oliver Regelmann

Letzte Woche schrieb ich noch, dass einzelne SSL-Zertifikatsanbieter keine SHA-1-Zertifikate mehr ausstellen. Dazu kommt noch, dass inzwischen mit Chrome der erste Browser Verbindungen unter bestimmten Umständen mit Warnhinweisen bzw. komplett als unverschlüsselt anzeigen wird, wenn sie noch auf einem SHA-1-Zertifikat basieren. Symantec hat eine schöne Übersicht dazu. Microsoft hat ähnliches für den IE angekündigt, lässt aber noch etwas mehr Zeit verstreichen.

Wie schon erwähnt, wird es für Domino 8.5.x keinen Support für SHA-2-Zertifikate geben. Wer also HTTPS-Dienste direkt mit Domino anbietet (z.B. iNotes), die potenziell mit Chrome abgerufen werden (Marktanteil in DE derzeit bei 25%), sollte kurzfristig ein Update auf Domino 9 einplanen. Dort kann dann entweder mit dem IHS unter Windows oder auch direkt mit dem Domino-HTTP-Task auf ein SHA-2-Zertifikat gewechselt werden.

Read full article |Kommentare deaktiviert für Kurzer Nachtrag zum Thema SHA-2
Tags: , , ,
Categories: Allgemein

TLS- und SHA-2-Patches für IBM Domino

5. November 2014 Posted by Oliver Regelmann

Offenbar getrieben durch die aktuelle Poodle-Attacke auf SSLv3 hat IBM Interim Fixes veröffentlicht, mit denen Domino das SSL-Nachfolgeprotokoll TLS unterstützt. Und zwar erfreulicherweise nicht nur für HTTPS, sondern auch “Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)”.

Gleichzeitig implementiert ist “TLS_FALLBACK_SCSV”, dass eine sichere Herabstufung von TLS-Verbindungen bei Kompatibilitätsproblemen ermöglichen soll. Da Domino allerdings auch mit diesen Fixes das Abschalten von SSLv3 nicht ermöglicht, bin ich nicht 100% sicher, ob Poodle-Attacken in einem Umfeld mit potenziell ungesicherten Browsern komplett verhindert werden. Insofern ist die Implementierung eines Reverse Proxy oder die Verwendung des IBM HTTP Servers mit Domino 9 auf Windows immer noch die technisch beste Wahl.

Verhindert wird durch die Patches jedenfalls, dass Browser, bei denen gemäß den aktuellen Empfehlungen SSLv3 deaktiviert ist, keine Verbindung mehr mit HTTPS-Diensten von Domino aufnehmen können.

Gleichzeitig gibt es jetzt ein Tool, mit dem SHA-2-Zertifikate in die Domino-Keyring-Datei übernommen werden können. Einzelne Anbieter stellen jetzt schon keine SHA-1-Zertifikate mehr aus, was schon zu Komplikationen bei der Einrichtung von HTTPS geführt hat. SHA-2-Support gibt es ausschließlich ab Domino 9.

Die TLS-Fixes gibt es für:

Siehe auch IBM How is IBM Domino impacted by the POODLE attack? – United States und den Blog-Post von Daniel Nashed.

Read full article |Kommentare deaktiviert für TLS- und SHA-2-Patches für IBM Domino
Tags: , , , ,
Categories: Allgemein