Поддержка SHA2 для сервера Domino 8.5.3 FP6?

В этой технической заметке от IBM вы можете найти следующие ответы:

Q1: Могу ли я импортировать сертификат SHA-2 на сервер Domino 9.x, а затем использовать этот набор ключей на сервере Domino 8.5.x? Нет В Domino 8.5.x отсутствует криптографическая инфраструктура для SHA-2. Это означает, что если вы импортируете сертификат с помощью 9.x и описанных выше временных исправлений и KYRTool, вы можете использовать эту связку ключей на сервере Domino 9.0 или выше, но не на сервере Domino до Domino 9.0.

Вопрос 2. Можно ли получить исправление для версии 8.5.x или более ранней версии для поддержки SHA-2? Нет Это невозможно, поскольку в выпусках до Domino 9.0 отсутствует криптографическая инфраструктура для SHA-2.

Является ли обновление до Domino 9.x единственным способом решить эту проблему? Если да, то сколько времени пройдет, прежде чем соответствующие веб-браузеры (например, Firefox и Chrome) отменят поддержку SHA-1?


lotus-domino xpages lotus
person Georg Kastenhofer    schedule 18.06.2015    source источник

Ответы (2)


arrow_upward
4
arrow_downward

Да, в долгосрочной перспективе обновление до Domino 9 — единственное решение. В качестве обходного пути вы можете использовать решение с обратным прокси-сервером (например, с помощью веб-сервера Apache, NGINX или HAProxy), см. https://frostillic.us/blog/posts/6AF303DE836BA02D85257D570058B1CA в качестве примера.

Что касается поддержки браузерами SHA-1:

person Egor Margineanu    schedule 18.06.2015
comment
Спасибо за ваш ответ и ваши очень полезные ссылки :) - person Georg Kastenhofer; 19.06.2015

arrow_upward
1
arrow_downward

Чтобы иметь возможность получать сертификаты SHA-2 с Domino 8.5.3, вы можете установить обратный прокси-сервер перед domino и позволить ему обрабатывать шифрование. Но, конечно, тогда вам придется поддерживать две машины и две разные программные среды. И у вас все еще работает «очень старое» программное обеспечение.

По этой ссылке первым отказался от SHA- 1 Поддержка будет осуществляться Microsoft в январе 2016 года. Chrome будет показывать предупреждения задолго до этого, но все равно их примет. Firefox не будет принимать SHA-1 после января 2017 года. С этого момента Chrome также будет рассматривать их как «утвержденно небезопасные».

Лучший совет: как можно быстрее обновите свои серверы до версии 9.0.1. Усилия минимальны, и тогда вы можете изначально обрабатывать TLS 1.2.

person Torsten Link    schedule 18.06.2015
comment
Спасибо за ваш ответ, я обновлюсь до 9.0.1 как можно скорее :) - person Georg Kastenhofer; 19.06.2015