Probleme mit https-Verbindungen nach der Installation von FP4

  • Hallo,


    einige unserer User haben ihr iPhone sofort auf iOS9 upgedatet. Leider können sie seitdem keine Mails mehr von Traveler Server empfangen. Dieser war (iOS9)/ist (iOS8) über https von der Außenwelt erreichbar.


    Zuerst habe ich Traveler 9,0.1.7 installiert. Dies hat aber zu keinem anderen Ergebnis geführt.
    Danach habe ich für den Domino den FP4 installiert. Das Update hat zu folgenden Fehlermeldungen geführt:


    TLS/SSL connection 172.31.254.5(443)-109.84.1.162(30225) failed with server certificate chain signature algorithms NOT supported by client
    TLS/SSL connection 172.31.254.5(443)-109.84.1.162(30225) failed with server certificate chain requiring support for MD5
    TLS/SSL connection 172.31.254.5(443)-109.84.1.162(33596) failed with inappropriate_fallback


    Vorher konnten nur die User, die iOS 9 benutzen keine Mails empfangen. Nach dem Update ging gar nichts mehr. Wer hat Hinweise?!


    Gruß Holger

  • Schöne Grüße nach Cupertino!
    Apple hat ziemlich eigenmächtig entschieden, was neuerdings erlaubt zu sein hat und was nicht. Nicht, dass das sonderlich verwunderlich wäre...

    Zitat

    App Transport security is not only about forcing HTTPS but Platform State of the Union Address claims that it enforces “Best Practice” HTTPS which according to Apple’s standards mean: TLS 1.2 and PFS cipher suites. Apple claims it will not downgrade to previous versions of TLS and non-PFS ciphers and that their standards will evolve over time.

    => Apple iOS 9: Security & Privacy Features


    Bei der Gelegenheit kann man auch gleich den Usern den Kopf waschen, was zum Geier die eigentlich ungetestete und nicht validierte Software ins Netz lassen.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Es gibt immer User, die besonders (in diesem Fall schnell sind).....ich überlegt mir da noch was.....


    Die Frage, die mich momentan natürlich mehr interessiert ist, wie kann ich das Problem lösen bzw. was muss ich machen, damit der Domino mit FP4 wieder mit den iPhone´s mit iOS 9 spricht?

  • Hallo,


    ich habe die Lösung gefunden!!! :)


    ALso Update auf den aktuellen Traveler und das FP4 auf den Domino installieren. Nach dem Update die notes.ini editieren:



    3. Add the following notes.ini parameters AFTER upgrading the server to disable weaker ciphers (SSLv3) and to define the TLS 1.2 ciphers to use.

    Disable_SSLv3=1
    SSLCipherSpec=9F9E6B39679D9C3D353C2F330A05


    After setting these in place, please restart the server for it to take effect.


    Siehe auch: https://www-10.lotus.com/ldd/n…93DA6F6B385257EC3006ECA6D


    Danach funktioniert es mit iOS9 - allerdings dann NICHT mehr mit iOS8.

  • Danach funktioniert es mit iOS9 - allerdings dann NICHT mehr mit iOS8.

    Und aus genau dem Grund habe ich diesen "Workaround" auch nicht vorgeschlagen: er löst das Problem nicht, sondern verlagert es nur auf andere User. Und wie will man denen erklären, dass manche sich das Recht herausnehmen, sich selbst als gleicher als alle anderen zu definieren?


    Es existieren im Grunde nur 2 Optionen:
    1) Aufbau eines zweiten Servers/Clusters, um getrennt voneinander 8er und 9er Geräte bedienen zu können. Hier stünde erst recht eine umfangreiche Testerei an (Android 4.x und 5.x, Windows Mobile, Blackberry) und jedes zukünftige Update kann einen Serverumzug des Gerätes, inkl. aller damit verbundenen Probleme und Aufwände, bedeuten.=> will man ganz sicher nicht.
    2) Unabhängig wie "wichtig" manche Leute meinen zu sein: verbindliche Org-Anweisung herausgeben, dass ausschließlich validierte Geräte und Software zu betreiben ist => notfalls Implementierung eines MDM und rigoroses Aussperren von Geräten, die nicht von euch kontrolliert werden (gehört sich eigentlich ohnehin so, BYOD ist die Seuche schlechthin).


    Alles andere ist Humbug und führt zu mehr Problemen, als es löst.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Hi,


    also ich habe den part disable weggelessen und die cipher auf TLS umgestellt.


    und seitdem verschlüsselt die Traveler Seite mit mit "TLS 1.2, AES mit 256 Bit Verschlüsselung (Hoch); RSA mit 2048 Bit Austausch".


    Seitdem können IOS 8 und IOS9 Geräte Syncen ohne Probleme.


    MFG


    Sventax

  • hast du ein Update von Traveler gemacht? Und wie Umeli sagt das Zertifikat neu!! Yep da auf der Seite ist das richtig beschrieben, einfach folgen, müsste dann gehen. Hatte ähnliches Problem bei mir als ich Code Signing von gprotec geholt hab und dann ging die https Verbindung nicht und hab dann komplett Update gemacht, bisschen im Netz gesucht und dann den Tipps geholt, ging dann alles wieder!!