fighting for truth, justice, and a kick-butt lotus notes experience.

Firefox deaktiviert ab 25.11. mit Version 34 SSLv3 - Handeln Sie jetzt

 November 23 2014 12:23:27 PM
Handeln Sie jetzt und stellen Sie sicher, dass Ihre HTTPS geschützten Webseiten wie iNotes, XPages oder sonstige beliebige Domino basierte Webseiten auch noch nach dem 25.11.2014 funktionieren!

Die meisten Domino Server verwenden zur sicheren Kommunikation per Browser ausschließlich das mehr als 18 Jahre alte SSL v3 Protokoll, dessen Verschlüsselung inzwischen gebrochen wurde und damit als unsicher gilt. Besser und sicherer ist die Verwendung von TLS ab einschließlich der Version 1.0.

Durch eine seit Sommer bekannte „Man in the Middle“-Attacke (POODLE “Padding Oracle On Downgraded Legacy Encryption”), ist es möglich für TLS geschützt Verbindungen eine Herabstufung (Fallback) auf  den unsicheren SSLv3 zu erreichen und somit die SSL Kommunikation mitzulesen.

Solange Ihr Webserver TLS und SSLv3 unterstützt und das sogenannte Fallback via SCSV unterstützt, muss Ihre per SSL geschützte Kommunikation als unsicher angesehen werden.
Die Browserhersteller (Google Chrome & Firefox) wollen daher sicherstellen, das trotz aktiviertem TLS kein Fallback auf SSLv3 mehr erfolgen kann und planen SSLv3 zeitnah zu deaktivieren, so dass nur noch das sichere TLS Protokoll verwendet werden kann.

Am 25.11.2014 wird Firefox wird mit Version 34 per Default SSLv3 deaktivieren!

Details hier: blog.mozilla.org

Google plant mit Chrome 40 (akt. Release-Termin Ende Dez.14 / Anfang Jan.15) ebenfalls SSLv3 zu deaktivieren!
Mit Chrome 39 werden Seiten die SSLv3 verwenden eine gelbe Warnmeldung anzeigen. Wir erwarten, dass auch Microsoft und Apple zeitnah auf die Situation reagieren werden.

Domino unterstützte bisher kein TLS und konnte zur geschützten SSL Kommunikation lediglich den "unsicheren" SSL v3 Standard verwenden.  Was bedeutet das für Sie?  

Ab Dienstag dem 25.11.2014 werden Firefox Benutzer keine SSL geschützten Verbindungen mehr zu Ihrem Domino HTTP Server aufbauen können.
Dies betrifft iNotes und beliebige andere Domino basierte Webseiten, die per SSL geschützt sind und zur SSL Verschlüsselung der Domino HTTP-Task verwendet wird.


IBM war daher gezwungen kurzfristig ein Interim Fix (Details hier: fixes-for-ibm-notes-and-domino-regarding-poodle-and-sha-2-available.htm) bereitzustellen, welches TLSv1.0 Support endlich auch unter Domino zur Verfügung stellt.
Das Interim Fix ist verfügbar für alle unterstützten Domino Plattformen und umfasst folgende Versionen 9.0.1 FP2, 9.0, 8.5.3 FP6, 8.5.2 FP4, 8.5.1 FP5).

Neben TLSv1.0 bringt das Security Fix auch die längst fällige Unterstützung für den SHA-2 Zertifikats-Standard (ab Domino Version 9.0.x) mit. Bisher unterstützte Domino auch hier nur den inzwischen als unsicher geltenden fast 20 Jahre alten SHA-1 Standard.
SSL-Zertifikate, die noch mit dem Hash-Algorithmus SHA-1 signiert wurden, werden künftig von Betriebssystemen und Webbrowsern als nicht mehr sicher eingestuft bzw. Zertifikatsanbieter stellen nur noch SHA-2 Zertifikate neu aus.
Wir empfehlen, ab sofort für neue und zu verlängernde Zertifikate nur noch SHA-2 zu verwenden und somit Ihre Domino HTTP Server mit dem Domino Security Fix zu versehen. Sind Ihre bereits vorhandenen Zertifikate länger als 2015 gültig, ist ein Tausch gegen SHA-2 Zertifikate ratsam.

Auf diesem Weg möchten wir Sie auch darauf hinweisen, das für Traveler ein neues Interim Fix 9.0.1 IF7  (Details hier: new-interims-fix-9.0.1-if7-for-ibm-notes-traveler-available.htm) verfügbar ist, welches das in Bezug auf die Anhangs-Verarbeitung Fehlerbehaftete IF6 ersetzt.
Wir raten hier zu einem zeitnahen Update Ihrer Traveler Server.

Wir unterstützen Sie gerne bei der Beantwortung Ihrer Fragen rund um Poodle, SHA-2 und Traveler Supportthemen und unterstützen Sie gerne bei der SHA-2  Zertifikatserstellung oder dem Update Ihrer Systeme.

Nehmen Sie einfach hier mit uns Kontakt auf.
Kommentare
noch keine Kommentare vorhanden
  •  
  • Hinweis zum Datenschutz und Datennutzung:
    Bitte lesen Sie unseren Hinweis zum Datenschutz bevor Sie hier einen Kommentar erstellen.
    Zur Erstellung eines Kommentar werden folgende Daten benötigt:
    - Name
    - Mailadresse
    Der Name kann auch ein Nickname/Pseudonym sein und wird hier auf diesem Blog zu Ihrem Kommentar angezeigt. Die Email-Adresse dient im Fall einer inhaltlichen Unklarheit Ihres Kommentars für persönliche Rückfragen durch mich, Detlev Pöttgen.
    Sowohl Ihr Name als auch Ihre Mailadresse werden nicht für andere Zwecke (Stichwort: Werbung) verwendet und auch nicht an Dritte übermittelt.
    Ihr Kommentar inkl. Ihrer übermittelten Kontaktdaten kann jederzeit auf Ihren Wunsch hin wieder gelöscht werden. Senden Sie in diesem Fall bitte eine Mail an blog(a)poettgen(punkt)eu

  • Note on data protection and data usage:
    Please read our Notes on Data Protection before posting a comment here.
    The following data is required to create a comment:
    - Name
    - Mail address
    The name can also be a nickname/pseudonym and will be displayed here on this blog with your comment. The email address will be used for personal questions by me, Detlev Pöttgen, in the event that the content of your comment is unclear.
    Neither your name nor your e-mail address will be used for any other purposes (like advertising) and will not be passed on to third parties.
    Your comment including your transmitted contact data can be deleted at any time on your request. In this case please send an email to blog(a)poettgen(dot)eu

Archive