Belsoft Collaboration AG Hauptsitz Zweigstelle SG Zweigstelle SZ
www.belsoft-collaboration.ch Russenweg 26
CH-8008 Zürich
...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Über mich
• Toni Feric
• Fokus: Domino/Traveler, UNIX/Linux, Inte...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Agenda
• Domino Socket Layer Security
• SSL/TLS
• Perfect Forward...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Hintergrund dieser Präsentation
2014
SHA-2
TLS 1.0
TLS 1.2
PFS + ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Was bedeuten diese Neuerungen konkret?
• SSLv3 abschalten (notes....
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Strategie eines System-Administrators
• Domino Updates zeitnah in...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Security-Scan
• Alle Domino Server, Reverse Proxy, u.a. Webdienst...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
DISABLE_SSLV3=1 (notes.ini)
• Auf jedem Domino Server setzen. (HT...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Verbindungs-Fehler
• Client kann keine Verbindung zum Server aufb...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Perfect Forward Secrecy (PFS)
• Sicherer Schlüsselaustausch
• Ses...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
verschlüsselte Verbindung (symmetrisch)
Schlüsselaustausch ohne P...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Schlüsselaustausch mit PFS (Diffie-Hellman)
Verbindungs-Aufbau (T...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
SSLCipherSpec (notes.ini)
• Ohne diese Variable kein PFS möglich
...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Cipher-Konfiguration ohne SSLCipherSpec (nur mit DDIR)
• Alle Ser...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Entscheidungshilfe für Cipher Bewertung
• Wie bewertet man die Be...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Konkrete Vorschläge (SSLCipherSpec)
• iNotes & Applikations-Webse...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Cipher testen & bewerten
• Alle aktuellen Browser durchtesten
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Cipher testen - Fehler
• Client kann keine Verbindung zum Server ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Security-Scan mit SSL Labs
LIVE DEMO…
https://www.ssllabs.com/ssl...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Cipher testen & bewerten - Tipps
• Security-Scan mit SSL Labs vom...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Socket Layer Security
Fragen?
SSL, TLS
DHE – Diffie-Hellman
AES, ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Security auf HTTP-Ebene
• Wechsel zu SHA-2 Zertifikaten
• Kyrtool...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Wechsel zu SHA-2 Internet Zertifikaten
• SHA: Secure Hashing Algo...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
kyrtool.exe
• Neues Tool von IBM
• Für Verwaltung von Domino Keyr...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
kyrtool.exe - Beispiele
• Verifizierung vor dem Import der Intern...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
HTTP Server Security
 Wechsel zu SHA-2 Zertifikaten
 Kyrtool
 ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Allgemeine Sicherheits-Prinzipien
• Alle Daten, die nicht ausschl...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Internet (HTTP) Authentisierung
• Für Web-Server, die keine öffen...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
iNotes Redirect Datenbank (anonymer Zugriff abgeschaltet)
• Wenn ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Internet Password Lockout
• Ohne «Internet Password Lockout» könn...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
«More Secure Internet Password»
• Längere Password Hashes (mit Sa...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Authentisierung – Basic Authentication
• Basic Authentication:
• ...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Authentisierung – Multiple Server SSO
• Bevorzugte Authentisierun...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Internet Port Status - HTTP
• Im Server Dokument
• Disabled:
• Br...
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
HTTP Server Security
Fragen?
SHA-256, SHA-1
HTTP
SMTP
LDAP notes....
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch
Quellenverzeichnis
• ConnectED2015, BP102: «Practical IBM Notes a...
Nächste SlideShare
Wird geladen in …5
×

Domino HTTP Security - Neuerungen

1.327 Aufrufe

Veröffentlicht am

Vortrag von Toni Feric anlässlich des Belsoft Collaboration Day Rheintal 2015

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.327
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
282
Aktionen
Geteilt
0
Downloads
12
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Domino HTTP Security - Neuerungen

  1. 1. Belsoft Collaboration AG Hauptsitz Zweigstelle SG Zweigstelle SZ www.belsoft-collaboration.ch Russenweg 26 CH-8008 Zürich T +41 44 388 13 31 Espenstrasse 139 Eichenstrasse 2 CH-9443 Widnau (SG) 8808 Pfäffikon SZ T +41 71 727 75 75 T +41 55 410 55 50 Domino HTTP Security - Neuerungen Toni Feric April, 2015
  2. 2. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Über mich • Toni Feric • Fokus: Domino/Traveler, UNIX/Linux, Integration, Infrastruktur, Troubleshooting, Security • 17 Jahre Berufserfahrung Domino • 11 Jahre bei einer Rückversicherung tätig • Engineering Mail-Infrastruktur (ca. 18’000 Mailkonti) • Aufbau Langzeit-Archivierungslösung für Mail
  3. 3. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Agenda • Domino Socket Layer Security • SSL/TLS • Perfect Forward Secrecy • Cipher für symmetrische Schlüssel • Domino HTTP Server Security • SHA-2 Zertifikate • kyrtool • Einstellungen HTTP • Einstellungen SMTP TLS
  4. 4. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Hintergrund dieser Präsentation 2014 SHA-2 TLS 1.0 TLS 1.2 PFS + DHE Perfect Forward Secrecy Kyrtool SSLv2 disabled SSLv3 abschaltbar Unsichere Cipher disabled MD5, <128bit, RC4…
  5. 5. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Was bedeuten diese Neuerungen konkret? • SSLv3 abschalten (notes.ini) • Upgrade auf min. R9.0.1.FP3IF2 • HTTP Reverse Proxy empfohlen (Sophos UTM, NGINX) • Domino R8.5 und älter - nicht mehr direkt am Internet • Fixpack/Interim-Fix zeitnah installieren: http://ibm.com/support/mynotifications • Neue Security Features nicht konfigurierbar via GUI im DDIR -> notes.ini • Installation von Fixpack/IF schaltet ältere Features ab • Cipherlisten im DDIR : WYSI-not-WYG
  6. 6. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Strategie eines System-Administrators • Domino Updates zeitnah installieren. – Erledigt! • Strategie ändern • Features müssen von Hand nachkonfiguriert werden • SSLv3 abschalten, PFS einschalten, Cipherliste anpassen • Reverse Proxy aktuell halten, Domino gelegentlich updaten • Strategie ändern? • Domino ohne https? • Nicht sicher für: User-Login, DMZ, SSO-Tickets/Cookies, non-public Daten • Unverschlüsselte Dienste/Protokolle ganz abschalten • Browser-Update -> Zugriff auf Domino Webdienst geht nicht mehr • NGINX, Apache: SSLv3 aus der Konfig entfernt?
  7. 7. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security-Scan • Alle Domino Server, Reverse Proxy, u.a. Webdienste scannen: https://www.ssllabs.com/ssltest/ • Nach jeder Konfigurationsänderung Scan wiederholen • Periodisch wiederholen (z.B. monatlich) • Bewertung «A-» sollte mit Domino R9 möglich sein
  8. 8. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch DISABLE_SSLV3=1 (notes.ini) • Auf jedem Domino Server setzen. (HTTP, SMTP, POP3, IMAP, LDAP) • Zuvor, den neusten (oder entsprechenden) Fix installieren: http://www-01.ibm.com/support/docview.wss?uid=swg21695998 • Alte Domino Keyrings mit MD5 Signaturen müssen vorher ersetzt werden: http://www-01.ibm.com/support/docview.wss?uid=swg21701159 • Nur in Ausnahmefällen SSLv3 nicht abschalten (Kompatibilität) • SMTP Gateway? • Ev. bei serverseitigem LDAP Lookup (z.B. Directory Assistance) • Konfiguration im Domino Directory wird ignoriert
  9. 9. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Verbindungs-Fehler • Client kann keine Verbindung zum Server aufbauen. → (Client kann kein TLS, Server akzeptiert kein SSL) • Meldung im Log.nsf und auf der Konsole: • Ist dieser spezifische Client wichtig? → Im Zweifelsfall SSLv3 temporär wieder einschalten, Lösung suchen. → Wenn möglich, TLS auf dem Remote-System einschalten. → Ziel sollte sein, SSLv3 abzuschalten. Es ist nicht sicher. • Ev. Meldung im Monitoring einbauen.
  10. 10. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Perfect Forward Secrecy (PFS) • Sicherer Schlüsselaustausch • Session Key wird nicht übers Netz übertragen • Implementation durch Diffie-Hellman Methode (DHE) • Wenn Private Key kompromittiert wird: • Datenverkehr von Man-In-The-Middle nicht entschlüsselbar • Rückwirkend keine Entschlüsselung aufgezeichneter Daten möglich • Ab Domino R9.0.1FP3IF2 verfügbar • PFS defaultmässig nicht aktiviert (braucht mehr CPU Leistung) • Über notes.ini Variable SSLCipherSpec konfigurierbar • Bei Problemen mit Java 1.6/1.7 : SSL_DH_KEYSIZE=1024 • Domino: Noch kein DHE mit Elliptic-Curve (ECDHE)
  11. 11. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch verschlüsselte Verbindung (symmetrisch) Schlüsselaustausch ohne PFS Schritt 1: Verbindungs-Aufbau (TLS Negotiation) HTTP Client HTTP Server verschlüsselte Verbindung (asymmetrisch) PRIVATE KEY PUBLIC KEY Schritt 2: Datenübertragung HTTP Client HTTP Server Datenübertragung SESSION KEY SESSION KEY Geheimnis für Session Key
  12. 12. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Schlüsselaustausch mit PFS (Diffie-Hellman) Verbindungs-Aufbau (TLS Negotiation mit Perfect Forward Secrecy) HTTP Client HTTP ServerPRIVATE KEY PUBLIC KEY verschlüsselte Verbindung (asymmetrisch) Geteiltes Geheimnis für Session Key x a Privates Geheimnis a x Geteiltes Geheimnis x b Privates Geheimnisb x Geteiltes Geheimnis SESSION KEY SESSION KEY
  13. 13. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch SSLCipherSpec (notes.ini) • Ohne diese Variable kein PFS möglich • Variable, übersteuert alle Cipher-Einstellungen im DDIR • Verwendung der Variable SSLCipherSpec: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration • Verwendung der Variable (Kurzübersicht):
  14. 14. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher-Konfiguration ohne SSLCipherSpec (nur mit DDIR) • Alle Server Dokumente und Website Dokumente im DDIR überprüfen. • Alle AES Cipher einschalten • Schwache Cipher wurden vom Fixpack/IF disabled
  15. 15. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Entscheidungshilfe für Cipher Bewertung • Wie bewertet man die Bezeichnung eines Ciphers (z.B. DHE_RSA_WITH_AES_128_CBC_SHA) Funktion Abkürzung Erklärung Bewertung Schlüsselaustausch-Verfahren DHE (ECDHE) Diffie-Hellman (PFS) (noch nicht unterstützt) + (++) Asymmetrisches Verfahren (Private/Public Key) für Negotiation/Schlüsselaustausch RSA (ECC) (noch nicht unterstützt) + (++) Symmetrisches Verfahren für Datenübertragung AES 3DES_EDE RC4 Für legacy Windows + 0 - Schlüsselstärke (bit) für symmetrischen Schlüssel >128 bit <128 bit + - Betriebsart für Block-Cipher (symmetrische Schlüssel) GCM CBC (AEAD) Cipher Block Chaining + 0 Hash Algorithmus für MAC Integrity- Checking (symmetrische Schlüssel) SHA-384, SHA-256 SHA (=SHA-1) MD5 + 0 --
  16. 16. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Konkrete Vorschläge (SSLCipherSpec) • iNotes & Applikations-Webserver: SSLCipherSpec=9D9C3D3C352F3339676B9E9F DISABLE_SSLV3=1 • Falls alte Windows XP+IE Clients verbinden sollen: 0A zu der SSLCipherSpec Variable hinzufügen ( 0A : RSA_WITH_3DES_EDE_CBC_SHA ) • Traveler SSLCipherSpec=9D9C3D3C352F3339676B9E9F DISABLE_SSLV3=1 • SMTP SSLCipherSpec=9D9C3D3C352F0A3339676B9E9F DISABLE_SSLV3=1 RouterFallbackNonTLS=1 • Bei Verbindungs-Problemen mit alten Systemen: SSL_ENABLE_INSECURE_SSLV2_HELLO=1 (nicht empfohlen)
  17. 17. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen & bewerten • Alle aktuellen Browser durchtesten
  18. 18. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen - Fehler • Client kann keine Verbindung zum Server aufbauen. → (finden keinen gemeinsamen Cipher) • Meldung im Log.nsf und auf der Konsole: • DDM Monitoring – Warnungen an Admin schicken? • Fehlermeldung im Browser:
  19. 19. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security-Scan mit SSL Labs LIVE DEMO… https://www.ssllabs.com/ssltest/
  20. 20. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen & bewerten - Tipps • Security-Scan mit SSL Labs vom Internet her: https://www.ssllabs.com/ssltest/  Protocols • TLS1.2, TLS1.0 aktiv, kein SSL  Cipher Suites • DHE (PFS) Cipher verfügbar? • «DH 1024 bits WEAK» – Wird SSL_DH_KEYSIZE=1024 (notes.ini) verwendet?  Handshake Simulation • Windows IE / XP, Java 6, Java 7 : «Protocol or Cipher Suite mismatch» → Alte Systeme unterstützen nur noch schwache/unsichere Cipher  Protocol Details • «Forward Secrecy – with some browsers» → weil Elliptic Curves noch nicht unterstützt sind
  21. 21. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Socket Layer Security Fragen? SSL, TLS DHE – Diffie-Hellman AES, 3DES, RC4 PFS, Perfect Forward Secrecy SHA-256, SHA-1 Asymmetrisch Symmetrisch Session Key Zertifikat Negotiation HTTP SMTP LDAP notes.ini Signatur SSLCipherSpec= SSL_DH_KeySize= Windows XP Cipher Reverse Proxy
  22. 22. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security auf HTTP-Ebene • Wechsel zu SHA-2 Zertifikaten • Kyrtool • Security-Empfehlungen HTTP Server
  23. 23. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Wechsel zu SHA-2 Internet Zertifikaten • SHA: Secure Hashing Algorithmus • Signatur von Internet Zertifikaten • Überprüfung von Datenintegrität bei Datenübertragung (Block-Cipher) • SHA-1 Zertifikate werden praktisch nicht mehr ausgestellt • SHA-2 = SHA-256 (oder SHA-224, SHA-384, SHA-512) • Theoretische Attacken gegen SHA-1 bereits bekannt • Domino R8.* - inkompatibel mit SHA-2! → Empfehlung: 2015 alle Internet Zertifikate umstellen auf SHA-2 SHA
  24. 24. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch kyrtool.exe • Neues Tool von IBM • Für Verwaltung von Domino Keyrings • Erstellen von neuen Keyrings (*.kyr + *.sth) • Hinzufügen von Internet Zertifikaten • Kommandozeile (ohne GUI) • Windows + Linux • Achtung: Neue Version seit 02.04.2015 • Keyrings mit SHA-2 Zertifikaten inkompatibel mit Domino R8* • Kyrtool benötigt ev. Installation von Microsoft Visual C++ Runtime • Notes DB «Domino Server Certificate Admin» nicht mehr verwenden (ggf. bei älteren Domino Servern)
  25. 25. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch kyrtool.exe - Beispiele • Verifizierung vor dem Import der Internet Zertifikate in den Domino Keyring: • Erstellen eines neuen Domino Keyrings:
  26. 26. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch HTTP Server Security  Wechsel zu SHA-2 Zertifikaten  Kyrtool  Security-Empfehlungen HTTP Server
  27. 27. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Allgemeine Sicherheits-Prinzipien • Alle Daten, die nicht ausschliesslich für die Öffentlichkeit sind, sollten durch Authentisierung geschützt sein. • Authentifizierungs-Daten (Usernamen, Passwort, Cookie, Zertifikatsaustausch) sollten verschlüsselt sein. • Alle Daten, die Authentifizierung erfordern, sollten verschlüsselt übertragen werden. • Sensitive Daten sollten zudem nur in verschlüsselter Form abgelegt werden. • Dies gilt sowohl für Kommunikation übers Internet, als auch für interne Kommunikation. • Dies gilt für alle Protokolle. (inkl. LDAP) Referenz: Daniel Nashed, David Kern
  28. 28. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet (HTTP) Authentisierung • Für Web-Server, die keine öffentlichen Inhalte haben: • Anonyme Verbindungen werden nicht gebraucht – abstellen! • Keine unverschlüsselten Verbindungen • Domino Keyring-Datei wird benötigt • Alle «Internet Site» Dokumente überprüfen
  29. 29. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch iNotes Redirect Datenbank (anonymer Zugriff abgeschaltet) • Wenn anonymer Zugriff abgeschaltet ist, kann das Login Formular nicht richtig angezeigt werden. → Weil User noch nicht authentisiert sind, wenn sie auf das Login Formular zugreifen. • Lösung: URL’s die trotzdem anonym erreichbar sein müssen, können in einer notes.ini Variable aufgelistet werden: HTTPPublicURLs=/redir.nsf/* • Mehrere URL’s durch Kommas getrennt
  30. 30. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet Password Lockout • Ohne «Internet Password Lockout» können Brute-Force Attacken gegen Internet Passwörter nicht verhindert werden. • Einstellung im Server Configuration Document
  31. 31. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch «More Secure Internet Password» • Längere Password Hashes (mit Salting) für Internet Passwörter. • Auf «release 8.01 or greater» setzen • Unterschiedliche Hashes für identische Passwörter • Internet Passwörter für die User bleiben unverändert • Agent starten, der alle Passwort-Hashes in Personen Dokumenten sicherer macht:
  32. 32. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Authentisierung – Basic Authentication • Basic Authentication: • Usernamen + Passwort werden vom Browser in jedem HTTP GET Request zum Webserver mitgeschickt. → Empfehlung: Wenn möglich, nie verwenden. • Vermutlich mehrmals pro Mausklick. • Ohne https-Verbindung: Credentials aller Benutzer im Klartext • Passwörter können ev. in Server-Logs gespeichert werden • Merkmal: separates Login-Fenster über dem Browser • Logoff nicht möglich (Browser Programm beenden) • Im Domino Directory: • Session authentication: Disabled
  33. 33. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Authentisierung – Multiple Server SSO • Bevorzugte Authentisierungs-Methode für Domino Web Server. • Browser bekommt vom Server ein verschlüsseltes LTPA Token. • Browser speichert dieses verschlüsseltes Session-Cookie im Cache. • Browser kann verschlüsseltes Cookie nicht entschlüsseln. • Browser schickt Cookie mit jedem HTTP GET Reqest. • Nach Timeout oder Logoff der Session ist das Cookie nicht mehr gültig. • Eigenschaft: Login Aufforderung in der Webseite (Formular). • Cookies müssen vor Diebstahl geschützt werden (-> https).
  34. 34. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet Port Status - HTTP • Im Server Dokument • Disabled: • Browser Requests mit «http://» funktionieren nicht mehr. • Einziges Mittel um Credentials im Klartext sicher zu verhindern. • Redirect to SSL: • Im ersten Browser Request könnten Credentials im Klartext übermittelt werden. • Enabled: • Nur bei Public Content
  35. 35. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch HTTP Server Security Fragen? SHA-256, SHA-1 HTTP SMTP LDAP notes.ini Signatur HTTPPublicURLs= Internet Password Lockout Reverse Proxy Kyrtool Internet Zertifikat Basic Authentication Multi-Server SSO iNotes Traveler More Secure Internet Password
  36. 36. ©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Quellenverzeichnis • ConnectED2015, BP102: «Practical IBM Notes and Domino Internet Security» (Daniel Nashed, David Kern) • IBM Notes and Domino wiki: «TLS Cipher Configuration» http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration • Daniel Nashed’s Blog: «First Perfect Forward Secrecty Ciphers shipped with 9.0.1.FP3 IF2» http://blog.nashcom.de/nashcomblog.nsf/dx/first-perfect-forward-secrecy-ciphers-shipped-with-9.0.1-fp3-if2.htm • Darren Duke’s Blog: «TLS 1.2 in Domino and the settings I use» http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/tls-1.2-in-domino-and-the-settings-i-use.htm • Wikipedia: «Transport Layer Security» http://de.wikipedia.org/wiki/Transport_Layer_Security • Wikipedia: «Forward Secrecy» http://en.wikipedia.org/wiki/Forward_secrecy • YouTube: «Diffie Hellman Key Exchange» https://www.youtube.com/watch?v=YEBfamv-_do • Wikipedia: «POODLE» http://de.wikipedia.org/wiki/Poodle • Wikipedia: «Heartbleed» http://de.wikipedia.org/wiki/Heartbleed • Wikipedia: «Secure Hash Algorithm» http://de.wikipedia.org/wiki/Secure_Hash_Algorithm • Div. Weitere Wikipedia Artikel (RSA, AES, RC4, DES, 3DES, MD5, Elliptic Curve Cryptography, CBC, GCM, u.a.)

×