Domino Server: TLS 1.0 abschalten und Cipher Suites anpassen

Ich habe Mitte Dezember das SSL-Zertiikat einer meiner Domino Server (mobil.madicon.de) verlängert und nachfolgend den obligatorischen SSL Server Test von Qualys SSL Labs gestartet.

Das Rating mit "A+" war zwar OK, aber der (im Screenshot mit dem roten Pfeil markierte) Hinweis auf die ab Januar 2020 erfolgende Herabstufung auf "Grade B" wurde gemeldet. Ursache: mein Domino Server unterstützte noch TLS 1.0!

Dies bestätigte bei den Ergebnissen auch ein Blick in den Bereich "Protocols":

Zusätzlich sieht man, dass etliche der verwendeten Chiffren als "schwach" eingestuft sind.

Hierfür gibt es einen Parameter in der Datei NOTES.INI des Domino Servers:

SSL_DISABLE_TLS_10=1

Dieser Parameter kann z.B. durch das Konfigurationsdokument des Domino Servers aktiviert werden:

Eine weitere Analyse mittels des SSL Server Tests bestätigt die Abschaltung des TLS 1.0 Protokolls.

Die aktiv genutzten Chiffren können seit Domino Version 10 wieder im Serverdokument (Register: 'Ports...' -> 'Internet Ports...') angepasst werden.

Die Nutzung des NOTES.INI Parameters "SSLCipherSpec" (ab Domino Version 9.0.1 FP5, mehr Infos hier) ist nicht mehr erforderlich.

Das Ergebnis nach Abschaltung aller durch SSL Server Tests als "schwach" eingestuften Chiffren:

Hinweise

1. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, können möglicherweise ältere Anwendungen oder Devices nicht mehr funktionieren - das sollte überprüft werden.
   
   Ich selbst nutze nur Traveler (mit HCL Verse auf dem iPhone) und Verse on Premises in aktuellen Browsern - das funktioniert alles einwandfrei.
   
   
2. Wenn man nur noch diese 4 Chiffren (wie im obigen Screenshot gezeigt) aktiviert hat, ist zum Abschalten des TLS 1.0 Protokolls NICHT mehr der NOTES.INI Parameter "SSL_DISABLE_TLS_10=1" erforderlich.

Vielleicht ist Ihnen im ersten Screenshot die grün (= gute Einstellung des Webservers) hinterlegte Meldung

HTTP Strict Transport Security (HSTS) with long duration deployed on this server

aufgefallen?

Hierdurch wird der Domino Server als Webserver noch etwas sicherer:

HTTP Strict Transport Security (HSTS) is a web security policy mechanism that helps to protect websites against protocol downgrade attacks[1] and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should interact with it using only HTTPS connections, which provide Transport Layer Security (TLS/SSL), unlike the insecure HTTP protocol used alone. HSTS is an IETF standards track protocol and is specified in RFC 6797.

Quelle: HTTP Strict Transport Security

Diese Einstellung kann beim Domino Server durch den Parameter

HTTP_HSTS_MAX_AGE=31536000

in der Datei NOTES.INI festgelegt werden.