certificati SSL e Domino - meglio il reverse proxy

ssl certificati domino

  • 5 commenti
In rete c'è un aperto dibattito tra IBM e la community riguardo al fatto che l'agoritmo SHA-1 è vulnerabile,  quindi è consigliato velocemente il passaggio all'SHA-2.
In aggiunta, in questi giorni, molti provider SSL stanno mandando un comunicato urgente, informando che SSLv3 è vulnerabile grazie ad un recente exploit nominato PODDLE e questo è un grosso problema per coloro che espongono il server Domino direttamente in SSL (Domino supporta SSLv3 come ultimo formato).
Al momento per risolvere la problematica e dormire sonni tranquilli basta mettere un Reverse Proxy ( i più comuni sono Apache e Nginx)  davanti a  IBM Domino (operazione che una volta presa la mano...la si fa in 15 minuti)
Vi ricordo inoltre che nella relase 9.0.1 di Domino nativamente su Windows è presente anche IHS (un derivato di Apache) che potete installare per fare esattamente la stessa cosa forse più velocemente.

Io onestamente in In tutte le mie installazioni adotto Apache su Linux come reverse-proxy, opportunamente configurato in questa modalità. Questo mi permette di sfruttare il TLS 1.2  e la modalità di Load Balancer anche su Cluter Domino in un unico serverino centralizzato.

Vi segnalo infine un altro blogger che sta pubblicando una serie di articoli che spiegano passo passo come configurare Apache sullo stesso server Domino a questo link

Per poter testare le vostre vulnerabilità SSL eseguite questo tool

5 Commenti:

  • #1 marino 12/01/2015 12:21:29

    Grazie ancora Daniele, il goal definitivo è quello, cioè un unico httpd di frontend nattato, e n serventi http, dietro la rete, che non stanno nattati. Se come dici l'ssl a quel punto la gestisce httpd di frontend la cosa si semplifica. Attendo fiduciosamente l'aggiornamento della guida :)

    Grazie JM

  • #2 Daniele Grillo 09/01/2015 18:22:38

    Si hai capito correttamente Domino se sulla stessa macchina su cui è installato il reverse può rispondere sulla porta TCP diversa (es.8080) e Nginx o Apache gestiscono le richieste da 80/443 su cui puoi esattamente installare il certificato SSL e girarle a Domino.

    l caso più comune è quello d installare un unico reverse proxy per tutti i webserver in backend (Domino e non) su cui installare il certificato SSL e che risponde alle richieste su 80/443 che poi inoltra a differenti IP dei diversi web server

  • #3 marino 09/01/2015 12:32:53

    Quindi se ho ben capito, lasci domino in http, e la parte SSL è demandata soltanto a httpd. Molto interessante, anche nell'ottica come dicevo di applicare i certificati a quest'ultimo e non a domino; cosa relativamente meno complessa e fattibile da un amministratore senza competenze domino..

    Ti ringrazio molto per il tempo che dedicherai all'articolo, perchè questo scenario è sempre qualcosa di abbastanza complesso e quindi una guida, è sempre utile.

  • #4 Daniele Grillo 07/01/2015 16:07:42

    Si Apache/Nginx tira su SSL e domino risponde sulla TCP 80.

    Appena ho tempo preparo un articolo più dettagliato su quanto da te suggerito

    Ciao!

  • #5 marino 07/01/2015 16:03:09

    Domanda: ma nel tipo di configurazione che tu dici di fare, SSL è tirato su anche su Domino?

    Oppure gestisci ssl solo a livello di apache httpd? nel caso si può pensare ad un nuovo howto più dettagliato rispetto a questo precedente?

    { Link }

    Sarei interessato a capire come a partire da quello, si possa far usare un SSL di un fornitore terzo, esempio verisign, che permetta anche i vari wildcard *.miodominio.net

    Grazie JM

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: