FYI: es gibt eine Lösung zu "JConsole verbindet sich nicht mehr zum Server"

Guten Morgen miteinander!

Das ist "nur" FYI:
Vielleicht hat der eine oder andere schon festgestellt, dass es Probleme mit der lokal installierten JConsole geben kann, nachdem die Server auf 9.0.1 FP3 hochgezogen wurde. Daniel Nashed hatte es vor einiger Zeit schon erwähnt.

Während es mit dem clientseitigen FP2, plus Hotfixes (bspw. IF4, der den POODLE-Fix implementiert), bisher nur noch möglich war, die JConsole gegen 8er Server zu verbinden, hat es mit dem clientseitigen FP3 die Neuerung gegeben, dass nun die Verbindung gegen die 9er Server wieder tut, nun aber nicht mehr gegen die 8er Server.
Hintergrund ist der, dass das serverseitige FP3 SSLv3 nun per default deaktiviert. IBM hat es bis letzten Freitag nicht für nötig befunden, das zu dokumentieren! Das serverseitige FP3 kam Ende Januar raus, es gab auch SPRs dazu, aber erst jetzt hat IBM die Technote 16959438 veröffentlicht.
In der Technote verweist IBM nur ganz lapidar auf das Security Bulletin 1692733, das wiederum auf die CVE-ID "CVE-2014-3566" verweist. Dort ist zwar von Problemen mit SSLv3 die Rede, aber nirgendwo ist dokumentiert, dass entweder in der JVM oder im Domino das Protokoll ausgeknipst wird.

Weiters hat IBM eine Technote veröffentlicht, die zeigt, wie man SSLv3 auf dem Server deaktiviert: per INI-Switch DISABLE_SSLV3. Dass mit dem FP3 SSLv3 aber per default deaktiviert ist und die drunterliegende JVM nur noch TLS spricht, davon hat IBM nichts verraten. Eher im Gegenteil: der Fix zum SPR KLYH9QXMQE sagt nur, dass es nun die Möglichkeit gibt, SSLv3 zu deaktivieren. Da steht nirgendwo, dass man klammheimlich SSLv3 komplett ausgeknipst hat.
Warum man SSLv3 nur per INI-Switch aber nicht im Serverdokument deaktiveren kann, wohingegen es mit SSLv2 genau anders herum läuft, das bleibt das Geheimnis von IBM.

Wer von euch das große "Glück" hat, in gemischten Umgebungen zu adminstrieren und auch die JConsole gern und häufig nutzt, der hat nun zwei Möglichkeiten:

• entweder die Konsolen der 8er Server nur noch über den full blown Adminclient zu nutzen, oder
• sich 2 Clients parallel zu installieren.

Ich muss ehrlich gestehen: das Ding hat IBM erstklassig verbockt und ich bin ziemlich angesäuert wegen der Informationspolitik auf der einen Seite und der technsichen Umsetzung auf der anderen.

Hi Torsten,

ich würde die Erklärung

Zitat

JVM 1.6 SR16 FP2 disabled SSLv3 and instead communicates only over TLS. If the Domino server is upgraded to 9.0.1 Fix Pack 3 (which contains JVM 1.6 SR16 FP2), the Java Console attempts to connect over SSLv3 to the JVM layer on the Domino server, which will accept only TLS connections. Applying 9.0.1 Fix Pack 3 on both the Domino server and the Java Console client will remedy the problem.

in der Technote 1695943 so interpretieren, dass es nun gar kein SSLv3 mehr gibt.

Ob man das wieder anknipsen kann und wenn ja: wie, damit habe ich mich nicht weiter auseinander gesetzt. Das Wörtchen "only" interpretiere ich aber so, dass das wohl gar nicht mehr geht.

Unter normalen Umständen würde ich ja auf die IBM-KB wetten, dass da in gewohnter Weise was Hilfreiches drin steht. Aber in diesem Fall? Meine Hoffnung darauf, dass zeitnah etwas Substanzielles zu diesem nicht ganz unwesentlichen Punkt zu finden ist, nähert sich asymptotisch gegen Null.