Start/notes.ini Parameter/SSLCipherSpec

SSLCipherSpec

Parameter: SSLCipherSpec
Kurzbeschreibung: Definiert serverweit die zugelassenen SSL/TLS-Cipher-Suites in HCL Domino über eine Aneinanderreihung von 4-stelligen Hex-Cipher-IDs. Auf Domino 10.0.1 und höher wird der notes.ini-Wert beim Upgrade automatisch übernommen und anschließend ignoriert.

Steckbrief

Parameter
SSLCipherSpec
Komponente
Server (alle SSL-fähigen Tasks)
Kategorie
Security / TLS
Verfügbar seit
Domino 9.0.1 (mit TLS 1.2-Update; ab 10.0.1 nur Migration)
Wertformat
Hex-String aus 4-stelligen Cipher-IDs ohne Trennzeichen, z. B. C030009F009D
Wirkung
Überschreibt die im Server-/Internet-Site-Dokument konfigurierten Cipher komplett
GUI-Entsprechung
Server-Dokument → Ports → Internet Ports bzw. Internet Site → Security → TLS Security

Beschreibung

Mit SSLCipherSpec legen Administratoren auf einem Domino-Server serverweit fest, welche Cipher-Suites für eingehende und ausgehende SSL/TLS-Verbindungen erlaubt sind. Die Liste wird als Hex-Zeichenkette aus jeweils 4-stelligen Cipher-IDs angegeben:
  • Reihenfolge der Cipher in der Zeichenkette ist irrelevant – die Auswahl entsteht zur Laufzeit aus der Kombination Server-Liste ∩ Client-Liste.
  • Vorhängende Nullen müssen vorhanden sein (z. B. 009D und nicht 9D).
  • Ältere 2-stellige Cipher-IDs werden weiterhin akzeptiert (Legacy aus IBM-Zeiten).
Laut HCL Notes/Domino Wiki überschreibt SSLCipherSpec die im Server- bzw. Internet-Site-Dokument konfigurierte Cipher-Liste vollständig. Um eine einzelne unerwünschte Cipher zu entfernen, muss daher die komplette gewünschte Cipher-Liste in SSLCipherSpec aufgeführt werden – alle dort fehlenden Cipher sind anschließend nicht mehr verfügbar.

Wichtige Versionsnotiz: Domino 10.0.1+

Laut HCL Product Documentation „New SSL cipher configuration“ (Domino 10.0.1) gilt:
You may currently use the SSLCipherSpec server notes.ini setting to specify cipher settings on Domino 9.0.1 servers. In this case, after upgrading to Domino 10.0.1, the value in SSLCipherSpec is selected automatically in the Server documents or Internet Site documents of Domino 10.0.1 servers. After the upgrade, the notes.ini setting on servers is ignored.
Konsequenz:
  • Domino 9.0.1 / 9.0.1 FP3+SSLCipherSpec ist die wichtigste Stellschraube und wird ausgewertet.
  • Domino 10.0.1, 11.0.x, 12.0.x, 14.x, 14.5.x – Beim Upgrade von 9.0.1 wird der Wert einmalig in das Server-Dokument bzw. das Internet-Site-Dokument migriert. Danach wird die notes.ini-Eintragung ignoriert; Änderungen erfolgen ausschließlich im Verzeichnisdokument.
  • Für Neuinstallationen ab Domino 10.0.1 sollte SSLCipherSpec in der notes.ini gar nicht erst gesetzt werden.

Beispiele

Nur die starken AES-256-GCM-Suiten (Beispiel aus dem HCL Wiki, nicht als Empfehlung gedacht):
SSLCipherSpec=C030009F009D
Klassisches Domino 9.0.1 FP3-Beispiel zur Begrenzung auf gemeinsame TLS-1.0/1.2-Cipher (aus HCL Forum):
SSLCipherSpec=3933352F0A

Hinweise

  • Wirkt nur in 9.0.1 – Ab Domino 10.0.1 ist die GUI-Konfiguration (Server-/Internet-Site-Dokument) maßgeblich; die notes.ini wird ignoriert.
  • Überschreibt GUI-Werte – In 9.0.1 macht jede SSLCipherSpec-Eintragung die Auswahl im „SSL Ciphers“-Feld der Ports-Konfiguration wirkungslos.
  • Cipher-Strength – In Domino 10 wurde RSA_WITH_3DES_EDE_CBC_SHA als Weak-Cipher klassifiziert; bei einer 1:1-Übernahme aus 9.0.1 sollte sie aus der Liste entfernt werden.
  • Standard ab Domino 14.x – Aktuelle Domino-Versionen liefern bereits eine moderne, TLS 1.2/1.3-taugliche Cipher-Default-Liste; ein manuelles Eingreifen ist nur bei besonderen Compliance-Anforderungen nötig.
  • Leitfaden – Die HCL Wiki-Seite „TLS Cipher Configuration“ sowie Daniel Nasheds Blog-Beiträge zu „Perfect Forward Secrecy ciphers shipped with 9.0.1 FP3 IF2“ geben praxistaugliche Cipher-Strings.

Quellen (HCL Product Documentation)