fighting for truth, justice, and a kick-butt lotus notes experience.

Firefox deaktiviert ab 25.11. mit Version 34 SSLv3 - Handeln Sie jetzt

Detlev Poettgen  November 23 2014 12:23:27 PM
Handeln Sie jetzt und stellen Sie sicher, dass Ihre HTTPS geschützten Webseiten wie iNotes, XPages oder sonstige beliebige Domino basierte Webseiten auch noch nach dem 25.11.2014 funktionieren!

Die meisten Domino Server verwenden zur sicheren Kommunikation per Browser ausschließlich das mehr als 18 Jahre alte SSL v3 Protokoll, dessen Verschlüsselung inzwischen gebrochen wurde und damit als unsicher gilt. Besser und sicherer ist die Verwendung von TLS ab einschließlich der Version 1.0.

Durch eine seit Sommer bekannte „Man in the Middle“-Attacke (POODLE “Padding Oracle On Downgraded Legacy Encryption”), ist es möglich für TLS geschützt Verbindungen eine Herabstufung (Fallback) auf  den unsicheren SSLv3 zu erreichen und somit die SSL Kommunikation mitzulesen.

Solange Ihr Webserver TLS und SSLv3 unterstützt und das sogenannte Fallback via SCSV unterstützt, muss Ihre per SSL geschützte Kommunikation als unsicher angesehen werden.
Die Browserhersteller (Google Chrome & Firefox) wollen daher sicherstellen, das trotz aktiviertem TLS kein Fallback auf SSLv3 mehr erfolgen kann und planen SSLv3 zeitnah zu deaktivieren, so dass nur noch das sichere TLS Protokoll verwendet werden kann.

Am 25.11.2014 wird Firefox wird mit Version 34 per Default SSLv3 deaktivieren!

Details hier: blog.mozilla.org

Google plant mit Chrome 40 (akt. Release-Termin Ende Dez.14 / Anfang Jan.15) ebenfalls SSLv3 zu deaktivieren!
Mit Chrome 39 werden Seiten die SSLv3 verwenden eine gelbe Warnmeldung anzeigen. Wir erwarten, dass auch Microsoft und Apple zeitnah auf die Situation reagieren werden.

Domino unterstützte bisher kein TLS und konnte zur geschützten SSL Kommunikation lediglich den "unsicheren" SSL v3 Standard verwenden.  Was bedeutet das für Sie?  

Ab Dienstag dem 25.11.2014 werden Firefox Benutzer keine SSL geschützten Verbindungen mehr zu Ihrem Domino HTTP Server aufbauen können.
Dies betrifft iNotes und beliebige andere Domino basierte Webseiten, die per SSL geschützt sind und zur SSL Verschlüsselung der Domino HTTP-Task verwendet wird.


IBM war daher gezwungen kurzfristig ein Interim Fix (Details hier: fixes-for-ibm-notes-and-domino-regarding-poodle-and-sha-2-available.htm) bereitzustellen, welches TLSv1.0 Support endlich auch unter Domino zur Verfügung stellt.
Das Interim Fix ist verfügbar für alle unterstützten Domino Plattformen und umfasst folgende Versionen 9.0.1 FP2, 9.0, 8.5.3 FP6, 8.5.2 FP4, 8.5.1 FP5).

Neben TLSv1.0 bringt das Security Fix auch die längst fällige Unterstützung für den SHA-2 Zertifikats-Standard (ab Domino Version 9.0.x) mit. Bisher unterstützte Domino auch hier nur den inzwischen als unsicher geltenden fast 20 Jahre alten SHA-1 Standard.
SSL-Zertifikate, die noch mit dem Hash-Algorithmus SHA-1 signiert wurden, werden künftig von Betriebssystemen und Webbrowsern als nicht mehr sicher eingestuft bzw. Zertifikatsanbieter stellen nur noch SHA-2 Zertifikate neu aus.
Wir empfehlen, ab sofort für neue und zu verlängernde Zertifikate nur noch SHA-2 zu verwenden und somit Ihre Domino HTTP Server mit dem Domino Security Fix zu versehen. Sind Ihre bereits vorhandenen Zertifikate länger als 2015 gültig, ist ein Tausch gegen SHA-2 Zertifikate ratsam.

Auf diesem Weg möchten wir Sie auch darauf hinweisen, das für Traveler ein neues Interim Fix 9.0.1 IF7  (Details hier: new-interims-fix-9.0.1-if7-for-ibm-notes-traveler-available.htm) verfügbar ist, welches das in Bezug auf die Anhangs-Verarbeitung Fehlerbehaftete IF6 ersetzt.
Wir raten hier zu einem zeitnahen Update Ihrer Traveler Server.

Wir unterstützen Sie gerne bei der Beantwortung Ihrer Fragen rund um Poodle, SHA-2 und Traveler Supportthemen und unterstützen Sie gerne bei der SHA-2  Zertifikatserstellung oder dem Update Ihrer Systeme.

Nehmen Sie einfach hier mit uns Kontakt auf.

Treffpunkte

Archive