Questi aggiornamenti se avete Domino in SSL sono fondamentali per garantire sicurazza e funzionalità di Domino pubblicati direttamente senza reverse proxy.
TLS
La fix per TLS è stata rilasciata per le versioni 9.0.1 FP2, 9.0, 8.5.3 FP6, 8.5.2 FP4, 8.5.1 FP5 e comprende queste nuove funzionalità:
Added support for TLS 1.0:
- Inbound and outbound connections
- Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)
- All platforms including support for IBM iSeries running System_SSL
- SSL/TLS Session resumption
- Client certificate authentication
- TLS protocol support for TLS_FALLBACK_SCSV Signaling Cipher Suite Value to protect browser clients that also support TLS_FALLBACK_SCSV against downgrade attacks.
- Will negotiate from TLS 1.0 and SSLv3 if other party does not support TLS 1.0. Note that protocol version *negotiation* is a different thing entirely from protocol *fallback*, as described in POODLE.
- The cipher suite list offered by Domino when making outbound connections has been re-ordered to place the AES ciphers first.
- Serviceability enhancements to make logging more thorough and easier to read and understand
- SSLv2
- SSL renegotiation has been disabled
- All weak (<128 bits) cipher suites have been disabled
IBM ha quindi lasciato attivo il protocollo SSLv3 interessato da Poddle (per retrocompatibilità) ma ha eliminato la possibilità di rinegoziazione sfruttata da Poddle , eliminandone quindi l'efficacia,
Considerando che i maggiori browser hanno in programma a breve l'eliminazione al supporto SSLv3 diventa comunque importante l'installazione di questo aggiornamento.
A questo link trovate un articolo sul wiki
SHA-2
I certificati basati sull'algoritmo SHA-1 non sono più sicuri e quindi sono stati deprecati. E' stato rilasciato un nuovo tool denominato kyrtool, che permette di creare richieste in SHA-2 e quindi di aver nuovi file kyr che supportano questo algoritmo solo però su Domino 9.0.1FP2 IF1
Qui trovate il link al wiki con le spiegazioni
Nessun commento:
Posta un commento