Hace ya unos meses que han habido distintos movimientos en temas de seguridad a nivel de Internet y consecuentemente en IBM Domino.

Por un lado los problemas que hubo el pasado noviembre con el tema de POODLE en SSLv3 obligaron a IBM a desarrollar actualizaciones para dar soporte a TLS 1.0 tanto en versión 8.5.x como en 9.x. Tras años de espera, al fin soporte de TLS nativo en plataforma Domino. En versión 9.0 ya se había podido desplegar haciendo uso de IBM HTTP Server licenciado junto a Domino.

IBM también anunció el soporte de SHA-2 y TLS 1.2 para dar respuesta a distintos problemas de seguridad en Internet que se estaban presentando. El soporte llegó con la versión 9.0.1FP3IF2, y viene incluido en la versión 9.0.1FP4, de reciente publicación.

Esta nueva mejora implica cambios en el modo de generar certificados en entorno IBM Domino, que ya no se gestionan mediante la bbdd de "Server Certificate Admin" sino mediante la herramienta de consola kyrtool. Además, dado que estas funcionalidades se han incorporado en FixPacks, su configuración se realiza mediante variables en el archivo notes.ini

Pero yendo a lo práctico las consecuencias en infraestructura IBM Domino son las siguientes:

- La versión IBM Domino 8.5.x no soportará ni SHA-2 ni TLS 1.2. IBM ya ha anunciado que no se publicarán parches para incorporar estas mejoras a nivel de encriptación.

- La versión IBM Domino 9.x debe actualizarse a 9.0.1FP4.

En conclusión, si se quiere dar soporte a SHA-2 en plataforma IBM Domino habrá que actualizar la infraestructura IBM Domino a la 9.0.1FP4 y desplegar los nuevos certificados.

Esto afecta a todos los servidores IBM Domino con servicio HTTP y SSL ( que deberían ser todos :-) ) tanto dando servicio a Internet como en la Intranet.

La mayoría de los fabricantes como Microsoft, Mozilla, Google ya han ido anunciando la finalización del soporte de SHA-1 para los próximos meses/años y sus navegadores indican como sitios no seguros aquellos que usan certificados SHA-1.