martedì 4 novembre 2014

Domino SSL : IBM rilascia fix per supporto nativo TLS e SHA-2

IBM ha rilasciato importanti aggiornamenti di sicurezza che introducono il supporto a TLS 1.0 (questo permette di poter evitare Poddle) ed ai certificati SHA-2.
Questi aggiornamenti se avete Domino in SSL sono fondamentali per garantire sicurazza e funzionalità di Domino pubblicati direttamente senza reverse proxy.

TLS

La fix per TLS è stata rilasciata per le versioni 9.0.1 FP2, 9.0, 8.5.3 FP6, 8.5.2 FP4, 8.5.1 FP5 e comprende queste nuove funzionalità:

Added support for TLS 1.0:
  • Inbound and outbound connections
  • Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)
  • All platforms including support for IBM iSeries running System_SSL
  • SSL/TLS Session resumption
  • Client certificate authentication
  • TLS protocol support for TLS_FALLBACK_SCSV Signaling Cipher Suite Value to protect browser clients that also support TLS_FALLBACK_SCSV against downgrade attacks.
  • Will negotiate from TLS 1.0 and SSLv3 if other party does not support TLS 1.0. Note that protocol version *negotiation* is a different thing entirely from protocol *fallback*, as described in POODLE.
  • The cipher suite list offered by Domino when making outbound connections has been re-ordered to place the AES ciphers first.
  • Serviceability enhancements to make logging more thorough and easier to read and understand

  • Removed support:
    • SSLv2
    • SSL renegotiation has been disabled
    • All weak (<128 bits) cipher suites have been disabled
    IBM ha quindi lasciato attivo il protocollo SSLv3 interessato da Poddle (per retrocompatibilità) ma ha eliminato la possibilità di rinegoziazione sfruttata da Poddle , eliminandone quindi l'efficacia, 

    Considerando che i maggiori browser hanno in programma a breve l'eliminazione al supporto SSLv3 diventa comunque importante l'installazione di questo aggiornamento.
    A questo link trovate un articolo sul wiki

    SHA-2
    I certificati basati sull'algoritmo SHA-1 non sono più sicuri e quindi sono stati deprecati. E' stato rilasciato un nuovo tool denominato kyrtool, che permette di creare richieste in SHA-2 e quindi di aver nuovi file kyr che supportano questo algoritmo solo però su Domino 9.0.1FP2 IF1  
    Qui trovate il link al wiki con le spiegazioni

    Nessun commento:

    Posta un commento