Parameter:
SSL_DISABLE_TLS_10Kurzbeschreibung: Schaltet die TLS-Protokollversion 1.0 für alle SSL-fähigen Domino-Tasks (HTTP, SMTP, IMAP, POP3, LDAP) ab. Pflicht-Parameter zur Compliance-Abschaltung von TLS 1.0.
Steckbrief
Parameter | SSL_DISABLE_TLS_10 |
Komponente | Server (alle SSL-fähigen Tasks) |
Kategorie | Security / TLS |
Verfügbar seit | Domino 9.0.1 FP3 IF2 (gemäß KB0078972) |
Default 9.0.1–11.0.x | 0 (TLS 1.0 zugelassen) |
Default ab 12.0.x | TLS 1.0 ist per Default deaktiviert (Re-Enable mit SSL_ENABLE_TLS_10=1) |
Werte | 0 aus, 1 ein (= TLS 1.0 disabled) |
Beschreibung
TLS 1.0 stammt aus dem Jahr 1999 und gilt seit Jahren als unsicher (BEAST, schwache Cipher-Auswahl, fehlende moderne AEAD-Modi). Aktuelle Compliance-Vorgaben (PCI DSS ≥ 3.2, BSI TR-02102, NIST SP 800-52 Rev. 2) verbieten TLS 1.0 in produktiven Umgebungen.
SSL_DISABLE_TLS_10=1 schaltet TLS 1.0 für eingehende SSL/TLS-Verbindungen aller Domino-Internet-Protokolle ab. Wirkung erst nach Server-Restart. In Kombination mit DISABLE_SSLV3=1 werden alle veralteten Protokollversionen (SSL v2/v3, TLS 1.0) abgewiesen – verbleiben TLS 1.1 und TLS 1.2 (sowie ab Domino 12 TLS 1.3).Laut KB0078972 sollte der Parameter mit Bedacht gesetzt werden, da ältere Clients oder Anwendungen, die TLS 1.2 nicht unterstützen, anschließend nicht mehr verbinden können. Vor der Aktivierung ist daher eine Bestandsaufnahme der angeschlossenen Clients sinnvoll.
Versionshinweis
Domino-Version | Verhalten |
< 9.0.1 FP3 IF2 | Parameter nicht verfügbar |
9.0.1 FP3 IF2 – 11.0.x | TLS 1.0 per Default an; SSL_DISABLE_TLS_10=1 zum Abschalten |
12.0.x und höher | TLS 1.0 per Default aus; ggf. mit SSL_ENABLE_TLS_10=1 reaktivieren |
Beispiele
TLS 1.0 abschalten (typisch für 9.0.1 FP3+ und 10.x/11.x):
SSL_DISABLE_TLS_10=1 DISABLE_SSLV3=1
In Domino 12.0.x oder höher TLS 1.0 ausnahmsweise wieder einschalten (nicht empfohlen):
SSL_ENABLE_TLS_10=1
Hinweise
- Server-Restart erforderlich – Wirkt nicht zur Laufzeit; Domino-Server muss komplett neu gestartet werden.
- Eingehende Verbindungen – Der Parameter wirkt vor allem für eingehende SSL/TLS-Sessions. Für ausgehende Verbindungen handeln Domino-Tasks die Protokollversion mit der Gegenstelle aus; ggf. zusätzlich
SSLCipherSpeceinschränken.
- Überprüfung – Externe Tests (z. B. Qualys SSL Labs,
nmap --script ssl-enum-ciphers) eignen sich, um die Abschaltung zu bestätigen.
- Begleitparameter – Sinnvoll mit
DISABLE_SSLV3=1,USE_WEAK_SSL_CIPHERS=0und einer modernenSSLCipherSpec-Konfiguration kombinieren.
- Compliance – In Domino 12.0.x und neuer ist TLS 1.0 bereits standardmäßig aus;
SSL_DISABLE_TLS_10=1ist dort somit überflüssig, schadet aber nicht.
Quellen (HCL Product Documentation)
- HCL Customer Support – KB0078972 "How to disable the TLS 1.0 protocol" (Applies to: Domino 9.0.1 FP3 IF2, 10.0.x, HCL Domino 11.0.x und höher): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0078972
- HCL Domino 14.5.1 – NOTES.INI Settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/conf_notesinisettings_c.html
- HCL Notes and Domino Wiki – "IBM Notes and Domino Interim Fixes to support TLS 1.2": ds-infolib.hcltechsw.com/ldd/dominowiki.nsf/dx/TLS_1.2