SAP Ariba TLS Update information

	Español - Traducción automática	
Deutsch - Traducción automática English Français (France) - Traducción automática Italiano - Traducción automática 日本語 - Traducción automática 한국어 - Traducción automática Português (Brasil) - Traducción automática Русский - Traducción automática 简体中文 - Traducción automática

Actualización de versión KB0840650

Información de actualización de SAP Ariba TLS

Este artículo de la base de conocimientos ha sido traducido automáticamente para su comodidad. SAP no ofrece ninguna garantía con respecto a la exactitud o integridad de la traducción automática. Puede acceder al contenido original si cambia al inglés mediante el selector de idiomas.

Síntoma

El 24 de enero de 2025, habrá un cambio en las aplicaciones de SAP Ariba y en las conexiones de la suite de cifrado admitidas por SAP Business Network. Revise lo siguiente porque este cambio puede afectar a sus conexiones con nuestras soluciones.

LO QUE HABILITARÁ

El 24 de enero de 2025, las aplicaciones de SAP Ariba y SAP Business Network:

Habilite la compatibilidad con las conexiones TLS 1.3.
Finalice el soporte para las conexiones débiles de TLS 1.2.
Continúe admitiendo conexiones fuertes de TLS 1.2 para las comunicaciones entrantes y salientes.
No aceptará solicitudes de corrección de errores o mejoras asociadas con suites de cifrado débiles de TLS 1.2.

Las siguientes suites de cifrado débiles de TLS 1.2 no se admitirán después del 24 de enero y provocarán errores de conexión:

- Ejemplos de suites de cifrado basadas en CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Ejemplos de suite de cifrado basada en SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Ejemplos de suite de cifrado basado en intercambio de claves RSA:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Entorno

SAP NetWeaver 7.5

Problema de Redireccionamiento

QUÉ SON LOS IMPACTOS

A partir del 24 de enero de 2025, sucederá lo siguiente si TLS 1.3 no está activado.

Para los sistemas que solo utilizan suites de cifrado débiles de TLS 1.2:
- El establecimiento de comunicación TLS fallará.
- No se establecerán conexiones seguras.
- Todo el acceso a las aplicaciones y la red no estará disponible.
- Todas las funcionalidades, lanzadas previamente o en el futuro, no funcionarán ni estarán disponibles.
Para los sistemas que tienen suites de cifrado débiles y fuertes de TLS 1.2 activadas:
- Los establecimiento de comunicación TLS utilizarán automáticamente las conexiones fuertes de TLS 1.2.
- Le recomendamos que cambie a TLS 1.3 fuerte ahora y elimine TLS 1.2 débil inmediatamente.

Causa

SAP Ariba y SAP Business Network se comprometen a proteger la seguridad de los clientes y sus proveedores. SAP Ariba y SAP Business Network implementarán algunos cambios obligatorios para garantizar el uso de algoritmos criptográficos más sólidos, mecanismos de seguridad mejorados y una mejor protección contra vulnerabilidades conocidas.

Resolución

Si aún no lo ha hecho, pase a las suites de cifrado fuertes de TLS 1.2 (enumeradas a continuación) lo antes posible para mejorar la seguridad. Además, recomendamos encarecidamente activar TLS 1.3, que es el protocolo actual que proporciona las conexiones de seguridad máximas. Para garantizar la compatibilidad y el soporte, realice las siguientes acciones antes del 24 de enero de 2025.

Activar suites de cifrado TLS 1.3
Para maximizar la seguridad de sus aplicaciones de SAP Ariba y las conexiones de SAP Business Network, le recomendamos encarecidamente que active TLS 1.3, que será compatible a partir del 24 de enero. No se espera que el soporte para TLS 1.3 sea disruptivo o incompatible con sus aplicaciones de SAP Ariba y SAP Business Network.
Le sugerimos que utilice al menos una de las siguientes suites de cifrado TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Después de activar las suites de cifrado TLS 1.3, el establecimiento de comunicación TLS de TLS 1.2 existente (con suites de cifrado débiles o fuertes de TLS 1.2) cambiará automáticamente a TLS 1.3 el 24 de enero. Si están disponibles tanto TLS 1.2 como TLS 1.3 fuertes, las conexiones se establecerán de forma predeterminada en la primera suite de cifrado admitida activada.
Activar suites de cifrado fuertes de TLS 1.2
Además de activar suites de cifrado TLS 1.3 antes del 24 de enero, recomendamos encarecidamente activar suites de cifrado fuertes de TLS 1.2 ahora para una conexión más segura.

Ejemplos de suites de cifrado fuertes de TLS 1.2:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Preguntas frecuentes

En general, si la versión de software de conexión está relativamente actualizada, es probable que esto no afecte. Si su software de conexión es bastante antiguo, debe verificar si dispone de interoperabilidad.

Si se está conectando directamente a NetWeaver ABAP o S/4HANA (sin middleware implicado), ¿necesito realizar algún cambio?
R: Asegúrese de que se aplican las recomendaciones de parámetros de la sección 7 de la Nota SAP 510007 Consideraciones adicionales sobre la configuración de SSL en el servidor de aplicación ABAP.
Para restringir a TLS1.2, consulte la nota SAP 2384290 Actualización de SapSSL para facilitar las configuraciones solo de TLSv1.2, TLSext SNI para clientes 721+722 -> "Valores de parámetro de perfil para limitar versiones de protocolo a solo TLSv1.2 estricto"
Estamos utilizando SAP Process Integration (PI) o SAP Process Orchestration (PO) como middleware. ¿Necesitamos realizar alguna acción relacionada con este cambio?
R: Sí. Debe asegurarse de que una o todas las suites de cifrado fuertes de TLS 1.2 anteriores estén activadas en su sistema.
1. El sistema debe tener la versión de software o superior según la nota SAP 2284059 Actualización de biblioteca SSL dentro del servidor NW Java (para cifrados DHE) o la versión de software o superior según la nota SAP 2708581 Soporte ECC para conexiones de salida en SAP NW AS Java (para cifrados ECDHE) Y
2. El archivo SSLContext.properties debe actualizarse manualmente para permitir la compatibilidad con los cifrados fuertes TLS 1.2 enumerados anteriormente.
Las versiones de software están implementadas. ¿Cómo garantizamos que una o todas las suites de cifrado TLS 1.2 fuertes anteriores estén habilitadas en NetWeaver?
1. Actualice el archivo SSLContext.properties según el perfil de ejemplo 3 de la nota SAP 2708581. Esto garantizará que el nivel máximo de interoperabilidad esté habilitado en el lado de PI/PO NetWeaver.
2. Las instrucciones para actualizar el archivo SSLContext.properties están disponibles en KBA 2569156 Cómo crear, modificar y validar el archivo SSLContext.properties.
¿Podemos habilitar TLS 1.3 en SAP NetWeaver 7.50?
R: Para las conexiones de salida (adaptador de receptor de PO -> SAP Ariba), no, TLS 1.3 no se admite en NetWeaver 7.5 o inferior para las conexiones de salida.
Para las conexiones de entrada (SAP Ariba -> Adaptador de emisor de PO), sí, TLS 1.3 se admite en NetWeaver 7.5 para las conexiones de entrada con la nota SAP 3318423 Es TLS 1.3 compatible con SAP Kernel para Netweaver AS ABAP (lo mismo se aplica a AS Java).
Estamos utilizando SAP Integration Suite o SAP Cloud Process Integration (CPI) como nuestro middleware. ¿Debemos realizar alguna acción con respecto a este cambio?
A: No. Estas capacidades ya existen en SAP Integration Suite y no se requieren acciones allí.
¿Es necesario garantizar que todos los cifrados estén disponibles?
R: No, solo es necesario 1 cifrado común en ambos lados de la conexión para garantizar que la conexión funcione.

Ver también

KBA 2708581 - Compatibilidad con ECC para conexiones de salida en SAP NW AS Java

Se aplica a

Servicios de aplicación de compras