Domino 8.5.3 FP6 服务器是否支持 SHA2？

Question

在这篇来自 IBM 的 technote 中，您可以找到以下答案：

Q1: Can I import the SHA-2 cert on a Domino 9.x server and then use that keyring on a Domino 8.5.x server? No. Domino 8.5.x lacks the cryptographic infrastructure for SHA-2. This means if you import the cert using 9.x and the Interim Fix and and KYRTool described above, you can use that keyring on a Domino 9.0 or above server, but not on a Domino server pre-Domino 9.0.

Q2: Can I get a hotfix on 8.5.x or earlier to support SHA-2? No. This is not possible since releases prior to Domino 9.0 lack the cryptographic infrastructure for SHA-2.

更新 Domino 9.x 是处理此问题的唯一方法吗？如果是这样，相关网络浏览器（即 firefox 和 chrome）将在多长时间后取消对 SHA-1 的支持？

Answer 1

是的，从长远来看，升级到 Domino 9 是唯一的解决方案。作为解决方法，您可以使用反向代理解决方案（例如使用 Apache Web 服务器、NGINX 或 HAProxy），请参阅 https://frostillic.us/blog/posts/6AF303DE836BA02D85257D570058B1CA 作为示例。

关于浏览器对 SHA-1 的支持：

• 微软： http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
• Google: http://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
• 摩斯拉： https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

Answer 2

为了能够使用 Domino 8.5.3 获得 SHA-2 证书，您可以在 Domino 前面安装反向代理并让其处理加密。但是当然，您需要维护两台机器和两个不同的软件环境。而且你还有一个 "very old" 软件 运行。

截至 this Link，第一个放弃 SHA-1 支持的将是 Microsoft，将于 2016 年 1 月 。 Chrome 会在此之前很久显示警告，但仍会接受它们。 Firefox 将在 2017 年 1 月 后不再接受 SHA-1。 从那时起 Chrome 也会将它们视为 "affirmatively insecure".

最佳建议：尽快将您的服务器更新到 9.0.1。工作量很小，然后您可以本地处理 TLS 1.2