【问题标题】:SHA2 Support for Domino 8.5.3 FP6 Server?Domino 8.5.3 FP6 服务器的 SHA2 支持?
【发布时间】:2015-06-18 08:46:49
【问题描述】:

在 IBM 的 technote 中,您可以找到以下答案:

Q1:我可以在 Domino 9.x 服务器上导入 SHA-2 证书,然后在 Domino 8.5.x 服务器上使用该密钥环吗? 没有。 Domino 8.5.x 缺少 SHA-2 的加密基础设施。这意味着如果您导入 证书使用 9.x 和上述临时修复和 KYRTool, 您可以在 Domino 9.0 或更高版本的服务器上使用该密钥环,但不能在 Domino 服务器是 Domino 9.0 之前的版本。

Q2:我能否获得 8.5.x 或更早版本的修补程序以支持 SHA-2? 没有。这个 不可能,因为 Domino 9.0 之前的版本缺少 SHA-2 的加密基础设施。

更新Domino 9.x 是处理此问题的唯一方法吗?如果是这样,需要多长时间,相关的网络浏览器(即 firefox 和 chrome)才会取消对 SHA-1 的支持?

【问题讨论】:

    标签: xpages lotus-domino lotus


    【解决方案1】:

    是的,从长远来看,升级到 Domino 9 是唯一的解决方案。作为一种解决方法,您可以使用反向代理解决方案(例如,使用 Apache Web 服务器、NGINX 或 HAProxy),请参阅 https://frostillic.us/blog/posts/6AF303DE836BA02D85257D570058B1CA 作为示例。

    关于浏览器对 SHA-1 的支持:

    【讨论】:

    • 感谢您的回答和非常有用的链接:)
    【解决方案2】:

    为了能够使用 Domino 8.5.3 获得 SHA-2 证书,您可以在 domino 前面安装一个反向代理并让其处理加密。但是当然,你有两台机器和两个不同的软件环境需要维护。而且您仍然在运行“非常旧”的软件。

    截至this Link,第一个放弃 SHA-1 支持的将是 Microsoft2016 年 1 月。 Chrome 会在此之前很久就显示警告,但仍会接受它们。 Firefox2017 年 1 月 之后将不再接受 SHA-1。 从那时起,Chrome 也会将它们视为“绝对不安全”。

    最佳建议:尽快将您的服务器更新到 9.0.1。工作量很小,然后您就可以本机处理 TLS 1.2

    【讨论】:

    • 感谢您的回答,我会尽快升级到9.0.1 :)
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-05-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-03-04
    相关资源
    最近更新 更多