在IBM的technote中,您可以找到以下答案:
Q1:我可以在Domino 9.x服务器上导入SHA-2证书,然后在Domino 8.5.x服务器上使用该密钥环吗? 不。 Domino 8.5.x缺乏 SHA-2的加密基础设施。这意味着如果您导入 使用9.x以及上述的Interim Fix和KYRTool进行证明, 您可以在Domino 9.0或更高版本的服务器上使用该密钥环,但不能在 Domino服务器在Domino 9.0之前。
Q2:我是否可以在8.5.x或更早版本上获得支持SHA-2的修补程序? 不。这个 由于Domino 9.0之前的版本缺乏,因此无法实现 SHA-2的加密基础设施。
对Domino 9.x的更新是处理此问题的唯一方法吗?如果是这样,在相关的Web浏览器(即firefox和chrome)取消对SHA-1的支持之前需要多长时间?
答案 0 :(得分:4)
是的,从长远来看,升级到Domino 9是唯一的解决方案。作为一种解决方法,您可以使用反向代理解决方案(例如,使用Apache Web Server,NGINX或HAProxy),请参阅https://frostillic.us/blog/posts/6AF303DE836BA02D85257D570058B1CA作为示例。
关于SHA-1的浏览器支持:
答案 1 :(得分:1)
为了能够使用Domino 8.5.3获得SHA-2证书,您可以在domino之前安装反向代理,并让它处理加密。但当然,您需要维护两台机器和两个不同的软件环境。你仍然有一个“非常老”的软件运行。
截至this Link,第一个放弃SHA-1支持的人将是 Microsoft <2016年1月。 Chrome会在此之前很久就会显示警告但仍会接受它们。 Firefox 在 2017年1月之后不接受SHA-1。 从那时起,Chrome也会将其视为“肯定不安全”。
最佳建议:尽快将服务器更新到9.0.1。努力是最小的,然后你可以原生地处理TLS 1.2