Le 24 janvier 2025, une modification sera apportée aux connexions avec suite de chiffrement prises en charge par les applications SAP Ariba et SAP Business Network. Veuillez vérifier ce qui suit, car cette modification peut avoir un impact sur vos connexions à nos solutions.

QU'EST-CE QUI SERA HAPPEN ?

Le 24 janvier 2025, les applications SAP Ariba et SAP Business Network :

• Activez la prise en charge des connexions TLS 1.3.
• Fin de la prise en charge des connexions TLS 1.2 faibles.
• Continuez à prendre en charge les connexions TLS 1.2 fortes pour les communications entrantes et sortantes.
• N'acceptera pas les demandes de correction ou d'amélioration de bugs associées à des suites de chiffrement TLS 1.2 faibles.

Les suites de chiffrement TLS 1.2 faibles suivantes ne seront pas prises en charge après le 24 janvier et entraîneront des échecs de connexion :

• • Exemples de suites de chiffrement basées sur CBC :
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • Exemples de suites de chiffrement basées sur SHA1 :
    • TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
    • TLS_ECDHE_RSA_AES128_SHA
  • Exemples de suites de chiffrement basées sur l'échange de clés RSA :
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_GCM_SHA256

SAP NetWeaver 7.5

QUELS SONT LES IMPACTS

À partir du 24 janvier 2025, ce qui suit se produira si TLS 1.3 n'est pas activé.

• Pour les systèmes utilisant uniquement des suites de chiffrement TLS 1.2 faibles :
  • Les poignées de mains TLS échoueront.
  • Les connexions sécurisées ne seront pas établies.
  • Tous les accès aux applications et au réseau ne seront pas disponibles.
  • Toutes les fonctionnalités, validées précédemment ou à l'avenir, ne fonctionneront pas ou ne seront pas disponibles.
• Pour les systèmes dont les suites de chiffrement TLS 1.2 faibles et fortes sont activées :
  • Les établissement de liaisons TLS utiliseront automatiquement les connexions TLS 1.2 fortes.
  • Nous vous recommandons de passer maintenant à TLS 1.3 fort et de supprimer TLS 1.2 faible immédiatement.

SAP Ariba et SAP Business Network s'engagent à protéger la sécurité des clients et de leurs fournisseurs. SAP Ariba et SAP Business Network mettront en œuvre certaines modifications obligatoires pour garantir l'utilisation d'algorithmes cryptographiques plus forts, des mécanismes de sécurité améliorés et une meilleure protection contre les vulnérabilités connues.

Si ce n'est pas déjà fait, passez aux suites de chiffrement TLS 1.2 fortes (répertoriées ci-dessous) dès que possible pour une sécurité améliorée. En outre, nous vous recommandons vivement d'activer TLS 1.3, qui est le protocole actuel qui fournit des connexions de sécurité maximale. Pour garantir la compatibilité et la prise en charge, effectuez les actions suivantes avant le 24 janvier 2025.

1. Activer les suites de chiffrement TLS 1.3
   Pour optimiser la sécurité de vos applications SAP Ariba et de vos connexions SAP Business Network, nous vous recommandons vivement d'activer TLS 1.3, qui sera pris en charge à partir du 24 janvier. La prise en charge de TLS 1.3 n'est pas censée être perturbatrice ou incompatible avec vos applications SAP Ariba et SAP Business Network.
   Nous vous suggérons d'utiliser au moins l'une des suites de chiffrement TLS 1.3 suivantes :
   • TLS_AES_256_GCM_SHA384
   • TLS_CHACHA20_POLY1305_SHA256
   • TLS_AES_128_GCM_SHA256
     
     Après l'activation des suites de chiffrement TLS 1.3, les liaisons TLS à partir de TLS 1.2 existantes (à l'aide de suites de chiffrement TLS 1.2 faibles ou fortes) passeront automatiquement à TLS 1.3 le 24 janvier. Si TLS 1.2 et TLS 1.3 forts sont disponibles, les connexions seront activées par défaut sur la première suite de chiffrement prise en charge.
     
     
2. Activer les suites de chiffrement TLS 1.2 fortes
   Outre l'activation des suites de chiffrement TLS 1.3 avant le 24 janvier, SAP vous recommande vivement d'activer dès maintenant les suites de chiffrement TLS 1.2 fortes pour une connexion plus sécurisée.
   
   Exemples de suites de chiffrement TLS 1.2 fortes :
   • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

FAQ

En général, si la version logicielle de connexion est relativement à jour, il est probable que cela n'aura pas d'impact. Si votre logiciel de connexion est assez ancien, vous devez vérifier si vous avez mis en place une interopérabilité.

1. Si vous vous connectez directement à NetWeaver ABAP ou S/4HANA (aucun middleware impliqué), dois-je apporter des modifications ?
   R : Assurez-vous que les recommandations de paramètres de la section 7 de la note SAP 510007 Remarques supplémentaires sur la configuration de SSL sur Application Server ABAP sont en place.
   Pour limiter à TLS1.2, reportez-vous à la note SAP 2384290 Mise à jour SapSSL pour faciliter les configurations de TLSv1.2 uniquement, TLSext SNI pour les clients 721+722 -> "Valeurs de paramètre de profil pour limiter les versions de protocole à TLSv1.2-strict uniquement".
   
   
2. Nous utilisons SAP Process Integration (PI) ou SAP Process Orchestration (PO) comme middleware. Devons-nous prendre des mesures concernant cette modification ?
   A : Oui. Vous devez vous assurer qu'une ou toutes les suites de chiffrement TLS 1.2 fortes ci-dessus sont activées dans votre système.
   1. Le système doit disposer de la version logicielle ou supérieure conformément à la note SAP 2284059 Mise à jour de la bibliothèque SSL dans le serveur Java NW (pour les chiffrements DHE) ou une version logicielle ou supérieure conformément à la note SAP 2708581 Prise en charge d'ECC pour les connexions sortantes dans SAP NW AS Java (pour les chiffrements ECDHE) ET
   2. Le fichier SSLContext.properties doit être mis à jour manuellement pour permettre la prise en charge des chiffrements TLS 1.2 forts répertoriés ci-dessus.
      
      
3. Les versions logicielles sont en place, comment s'assurer que l'une ou toutes les suites de chiffrement TLS 1.2 fortes ci-dessus sont activées dans NetWeaver ?
   1. Mettez à jour le fichier SSLContext.properties conformément à l'exemple de profil 3 de la note SAP 2708581. Cela garantira que le niveau maximal d'interopérabilité est activé côté PI/PO NetWeaver.
   2. Des instructions sur la gestion du fichier SSLContext.properties sont disponibles dans KBA 2569156 Comment créer, modifier et valider le fichier SSLContext.properties.
      
      
4. Est-il possible d'activer TLS 1.3 dans SAP NetWeaver 7.50 ?
   R : Pour les connexions sortantes (PO Receiver Adapter -> SAP Ariba), no, TLS 1.3 n'est pas pris en charge dans NetWeaver 7.5 ou une version inférieure pour les connexions sortantes.
   Pour les connexions entrantes (SAP Ariba -> PO Sender Adapter), oui, TLS 1.3 est pris en charge dans NetWeaver 7.5 pour les connexions entrantes avec la note SAP 3318423 TLS 1.3 Est pris en charge par le noyau SAP pour Netweaver AS ABAP (il en va de même pour AS Java).
   
   
5. Nous utilisons SAP Integration Suite ou SAP Cloud Process Integration (CPI) comme middleware. Devons-nous prendre des mesures concernant cette modification ?
   A : Non. Ces fonctionnalités existent déjà dans SAP Integration Suite et aucune action n'est nécessaire à ce niveau.
   
   
6. Est-il nécessaire de s'assurer que tous les chiffrements sont disponibles ?
   R : Non, seul un chiffrement commun des deux côtés de la connexion est nécessaire pour garantir le bon fonctionnement de la connexion.

KBA 2708581 - Prise en charge ECC pour les connexions sortantes dans SAP NW AS Java

Services d'applications d'approvisionnement