Selfsign certifikát většinou pro interní použití nebo testování HTTPS na IBM Domino serveru stačil. S příchodem a instalací IF2 pro IBM Domino 901FP3, který nově zavádí TLS 1.2 je ale tomuto jednoduchému řešení konec.
Pokud máte pro HTTPS na IBM Domino 901FP3 serveru použitý selfsign certifikát a nainstalujete IF2, přestane webový přístup fungovat. Na console logu Domino serveru se začnou zobratovat následující chyby:
[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49539) failed with server certificate chain signature alogrithms NOT supported by client
[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49539) failed with server certificate chain requiring support for MD5
[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49540) failed with inappropriate_fallback
A ve web browser jsou zobrazeny následující chybi:
Při použití Chrome
K serveru nelze vytvořit zabezpečené připojení. Může se jednat o problém se serverem, nebo server může vyžadovat klientský ověřovací certifikát, který nemáte.
Kód chyby: ERR_SSL_PROTOCOL_ERROR
Při použití FireFoxu
Při spojení s domino9 nastala chyba. Server odmítl inicializovat spojení, protože klient začal používat verzi TLS, která je nižší než ta, která je podporovaná serverem. (Kód chyby: ssl_error_inappropriate_fallback_alert)
- Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
- Kontaktujte prosím vlastníka webového serveru a informujte ho o tomto problému.
Proč tomu tak je?
Selfsign certifikát je založen na algoritmu MD5 a s klíčem 512b a to je pro IF2 který zavádí TLS 1.2 málo. Zkoušel jsem hledat zda není nějaký parametr který by umožnil i na Domino serveru 901FP3IF2 použít selfsign certifikát, ale nebyl jsem úspěšný. Po tom co jsem pár dnů laboroval s různým nastavením jsem to vzdal, nakonfiguroval na Domino serveru certifikační autoritu s algoritmem RSA SHA512, klíčem 4096b a následně vygeneroval pro HTTPS certifikát SHA512RSA s klíčem RSA 2048b.
Výše uvedeným problémům a jejich řešení je věnována i Technote 1701159 na webu IBM.