Comme beaucoup d’entre vous le savent, quelques failles ont été décelées dans le protocole SSL. TLS 1.0 par exemple est vulnérable aux attaques “man-in-the-middle” alors que SSLV3 a été la base de l’attaque POODLE. Aujourd’hui, la plupart des sites web sont sécurisés contre ces failles, mais avez-vous songé à sécuriser également votre serveur Domino et/ou Traveler ?
Si vous avez lu l’introduction et que vous avez cliqué sur le lien, vous savez que vous avez plusieurs choses à faire dans votre environnement Domino.
Sachez cependant que ces changements ne sont nécessaires que sur des serveurs Domino hébergeant des sites web sécurisés par SSL. Bien que je ne vous conseille pas de continuer à utiliser un site web http non sécurisé, ces patches ne s’appliquent pas à ce type de serveurs.
3 changements
Pour sécuriser votre serveur, vous devez apporter trois grands changements : désactiver le support à TLS1.0, désactiver le support à SSLV3 et enfin, désactiver le support aux chiffrements non sécurisés.
Désactiver le support à TLS1.0
Vous avez besoin de IBM Domino 9.0.1 FP3 IF2 ou d’une version supérieure avant de pouvoir désactiver ce paramètre.
Lorsque les exigences système sont remplies, vous pouvez configurer ce paramètre dans votre document de configuration ou dans notes.ini : SSL_DISABLE_TLS_10=1
Désactiver le support à SSLV3
Vous avez besoin de IBM Domino 9.0.1 FP2 IF3 ou d’une version supérieure avant de pouvoir continuer.
Avant d’appliquer le Fix Pack et l’Interim Fix appropriés, vous devez configurer le paramètre suivant dans notes.ini ou dans votre document de configuration: DISABLE_SSLV3=1
Désactiver les chiffrements non sécurisés
Vous avez besoin de IBM Domino 9.0.1 FP4 IF2 ou d’une version supérieure avant de pouvoir continuer.
Dans cet article, vous pouvez vérifier quel chiffrement vous souhaitez garder.
Exemple
SSLCipherSpec=C030C02F009F009E
Placez ce paramètre dans notes.ini et vous n’utiliserez que ces chiffrements :
- ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
- DHE_RSA_WITH_AES_256_GCM_SHA384 (009F)
- ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
- DHE_RSA_WITH_AES_128_GCM_SHA256 (009E)
Comme vous le voyez, chaque chiffrement est défini par un code hexadécimal code. Ce code correspond à ce que vous spécifiez dans le paramètre SSLCipherSpec, sans espace ni séparateur.
Si vous désactivez des chiffrements, vous désactiverez aussi l’accès à vos sites à partir de navigateurs ou d’appareils d’anciennes générations comme Internet Explorer de Windows XP.
Ne l’oubliez pas...
Vous pouvez vérifier votre qualification de sécurité sur SSL Labs: https://www.ssllabs.com/ssltest/
Besoin d’aide?
EASI propose à ses clients de configurer pour eux ces paramètres. Cette offre vous est proposée à un prix forfaitaire de 1 heure par serveur Domino si les exigences système sont remplies, ou de 2 heures s’il manque des Fix Packs ou Interim Fixes. Veuillez vous renseigner auprès de votre délégué commercial ou de votre dévoué g.imbrechts@easi.net
