In rete c'è un aperto dibattito tra IBM e la community riguardo al fatto che l'agoritmo SHA-1 è vulnerabile, quindi è consigliato velocemente il passaggio all'SHA-2.
In aggiunta, in questi giorni, molti provider SSL stanno mandando un comunicato urgente, informando che SSLv3 è vulnerabile grazie ad un recente exploit nominato PODDLE e questo è un grosso problema per coloro che espongono il server Domino direttamente in SSL (Domino supporta SSLv3 come ultimo formato).
Al momento per risolvere la problematica e dormire sonni tranquilli basta mettere un Reverse Proxy ( i più comuni sono Apache e Nginx) davanti a IBM Domino (operazione che una volta presa la mano...la si fa in 15 minuti)
Vi ricordo inoltre che nella relase 9.0.1 di Domino nativamente su Windows è presente anche IHS (un derivato di Apache) che potete installare per fare esattamente la stessa cosa forse più velocemente.
Io onestamente in In tutte le mie installazioni adotto Apache su Linux come reverse-proxy, opportunamente configurato in questa modalità. Questo mi permette di sfruttare il TLS 1.2 e la modalità di Load Balancer anche su Cluter Domino in un unico serverino centralizzato.
Vi segnalo infine un altro blogger che sta pubblicando una serie di articoli che spiegano passo passo come configurare Apache sullo stesso server Domino a questo link
Per poter testare le vostre vulnerabilità SSL eseguite questo tool
certificati SSL e Domino - meglio il reverse proxy
- 10/20/2014
- 5 commenti
5 Commenti:
Grazie ancora Daniele, il goal definitivo è quello, cioè un unico httpd di frontend nattato, e n serventi http, dietro la rete, che non stanno nattati. Se come dici l'ssl a quel punto la gestisce httpd di frontend la cosa si semplifica. Attendo fiduciosamente l'aggiornamento della guida :)
Grazie JM
Si hai capito correttamente Domino se sulla stessa macchina su cui è installato il reverse può rispondere sulla porta TCP diversa (es.8080) e Nginx o Apache gestiscono le richieste da 80/443 su cui puoi esattamente installare il certificato SSL e girarle a Domino.
l caso più comune è quello d installare un unico reverse proxy per tutti i webserver in backend (Domino e non) su cui installare il certificato SSL e che risponde alle richieste su 80/443 che poi inoltra a differenti IP dei diversi web server
Quindi se ho ben capito, lasci domino in http, e la parte SSL è demandata soltanto a httpd. Molto interessante, anche nell'ottica come dicevo di applicare i certificati a quest'ultimo e non a domino; cosa relativamente meno complessa e fattibile da un amministratore senza competenze domino..
Ti ringrazio molto per il tempo che dedicherai all'articolo, perchè questo scenario è sempre qualcosa di abbastanza complesso e quindi una guida, è sempre utile.
Si Apache/Nginx tira su SSL e domino risponde sulla TCP 80.
Appena ho tempo preparo un articolo più dettagliato su quanto da te suggerito
Ciao!
Domanda: ma nel tipo di configurazione che tu dici di fare, SSL è tirato su anche su Domino?
Oppure gestisci ssl solo a livello di apache httpd? nel caso si può pensare ad un nuovo howto più dettagliato rispetto a questo precedente?
{ Link }
Sarei interessato a capire come a partire da quello, si possa far usare un SSL di un fornitore terzo, esempio verisign, che permetta anche i vari wildcard *.miodominio.net
Grazie JM