Die Drown-Lücke geht durch die Presse und alle werden hektisch. Die gute Nachricht: Wenn ich im IHS nichts besonderes konfiguriere, ist SSLV2 auf dem 7er und 8er IHS abgeschaltet.
Wer allerdings einzelne Verschlüsselungen aus dem SSLV2 Satz erlaubt, schaltet damit implizit SSLV2 komplett frei.
Wer es gleicht „richtig“ machen will, muss es aber auch richtig machen. TLSv1.2 benötigt unter z/OS für die starken verschlüsselungen Zugriff auf die Hardware Crypto ICSF und damit im RACF Zugriff auf die Profile der RACF CSFSERV Facility.
Das ist zwar im Infocenter auch so beschreiben, aber nicht jeder wird das auch umgesetzt haben.
Damit alle wieder gut schlafen können, kann man es im ersten Schuss so machen ohne ans RACF zu müssen:
SSLProtocolDisable SSLv2 SSLv3 TLSv12
SSLProtocolEnable TLSv1
Danach in Ruhe mit den RACFern reden und dann TLSv12 freischalten.
Infocenter HTTP-Server
IHS SSL FAQ:
http://publib.boulder.ibm.com/httpserv/ihsdiag/ssl_questions.html#SSLPROTO
Ach ja, nochmal aufpassen:
Wer auch den WAS auf TLS 1.2 und TLS1.1 heben will, braucht das Plugin auf einem etwas aktuelleren Wartungsstand.
PM69593 beschreibt das Problem, dort heisst es aber weiter:
TLS 1.1 and 1.2 is not supported on zOS at this time