CIT News

 

LDAP-Server: Deaktivierung SSLv3 [Update!]

SSLv3 wurde am 2.3.2015 bzw. 18.3.2015 deaktiviert.

 

 

 

Aktueller Status: SSLv3 wurde am 16.3.2014 ca. 16:50 Uhr deaktiviert.

Update 18.3.2015 18:25: Aufgrund eines Fehlers wurde SSLv3 am 16.3. für fs1/fs2 nicht deaktivert. Die Deaktivierung wurde erst heute effektiv!

-----

LDAP wird von vielen IT-Diensten der Hochschule zur Authentifizierung genutzt; damit Passworte dabei nicht im Klartext übertragen werden, erfolgt die LDAP-Kommunikation dabei verschlüsselt über SSL bzw. TLS. SSL gilt allerdings inzwischen bis einschließlich Version 3 als unsicher und sollte nicht mehr genutzt werden. Bisher lassen die LDAP-Server des RZ SSLv3 noch zu - aber das sollte aus Sicherheitsgründen geändert werden!

Bevor wir auf den LDAP-Servern SSLv3 deaktivieren, sollte sichergestellt sein, dass keine LDAP-Clients nur mit SSLv3 funktionieren. Bitte stellen Sie sicher, dass die LDAP-nutzenden Anwendungen und Dienste in Ihrem Verantwortungsbereich mit TLS ab Version 1 funktionieren und nicht auf SSLv3 angewiesen sind.

Folgender Zeitplan zur Umstellung ist vorgesehen:

Ab Montag 2.3.2014 deaktivieren wir SSLv3 auf folgenden LDAP-Servern bzw. Aliasen: ldap2.rz.hs-offenburg.de (fs3-4.rz.hs-offenburg.de, fs3.rz.hs-offenburg.de, fs4.rz.hs-offenburg.de)

Wenn Sie unsicher sind, ob Ihre Anwendung ohne SSLv3 funktioniert, können Sie dann mit diesen LDAP-Servern testen. Wenn Ihre Anwendung mit diesen LDAP-Servern nicht mehr funktioniert, können Sie vorläufig auf ldap1.rz.hs-offenburg.de etc. umstellen, bis das Problem gelöst ist.

Ab Montag 16.3.2014 deaktivieren wir SSLv3 auch auf folgenden LDAP-Servern bzw. Aliasen: ldap1.rz.hs-offenburg.de (fs1-2.rz.hs-offenburg.de, fs1.rz.hs-offenburg.de, fs2.rz.hs-offenburg.de)

Sollte dieser zweite Termin für eine wichtigen Dienst zu kurzfristig sein bitte Mitteilung ans RZ.

Hinweis: Eine eventuell vorhandene Option "TLS" beim LDAP-Client hat meist nichts damit zu tun, ob SSLv3 benötigt wird oder nicht! Oft steht diese Option für "StartTLS", eine Variante, bei der die Verbindung zunächst unverschlüsselt startet und dann auf verschlüsselt "hochgestuft" wird. Die Fähigkeit für TLS 1.x als Nachfolgeprotokoll von SSLv3 ist oft nicht mit einstellbaren Optionen verbunden - wenn die Software das kann, dann wird es einfach genutzt sofern der Server es auch kann.


Zu den LDAP-Servern und Aliasen beachten Sie bitte auch die Informationen auf unserem Serviceportal:

www.hs-offenburg.de/rz/servicekatalog/serverdienste/ldap-server/ -> Anleitung