Le 24 janvier 2025, une modification sera apportée aux connexions avec suite de chiffrement prises en charge par les applications SAP Ariba et SAP Business Network. Vérifiez les éléments suivants, car cette modification peut avoir un impact sur vos connexions à nos solutions.

QU'EST-CE QUI SERA HAPPEN ?

Le 24 janvier 2025, les applications SAP Ariba et SAP Business Network :

• Activez la prise en charge des connexions TLS 1.3.
• Mettre fin à la prise en charge des connexions TLS 1.2 faibles.
• Continuez à prendre en charge les connexions TLS 1.2 fortes pour les communications entrantes et sortantes.
• N'acceptera pas les demandes de correction de bogue ou d'amélioration associées à des suites de chiffrement TLS 1.2 faibles.

Les suites de chiffrement TLS 1.2 faibles suivantes ne seront plus prises en charge après le 24 janvier et entraîneront des échecs de connexion :

• • Exemples de suites de chiffrement basées sur CBC :
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • Exemples de suites de chiffrement basées sur SHA1 :
    • TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
    • TLS_ECDHE_RSA_AES128_SHA
  • Exemples de suites de chiffrement basées sur l'échange de clés RSA :
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_GCM_SHA256

SAP NetWeaver 7.5

QUELS SONT LES IMPACTS

À partir du 24 janvier 2025, les événements suivants se produiront si TLS 1.3 n'est pas activé.

• Pour les systèmes utilisant uniquement des suites de chiffrement TLS 1.2 faibles :
  • Les échanges TLS échoueront.
  • Les connexions sécurisées ne seront pas établies.
  • Aucun accès aux applications et au réseau ne sera disponible.
  • Toutes les fonctionnalités, lancées précédemment ou à l'avenir, ne fonctionneront pas ou ne seront pas disponibles.
• Pour les systèmes pour lesquels les suites de chiffrement TLS 1.2 faibles et fortes sont activées :
  • Les liaisons TLS utiliseront automatiquement les connexions TLS 1.2 fortes.
  • Nous vous recommandons de passer à TLS 1.3 fort dès maintenant et de supprimer TLS 1.2 faible immédiatement.

SAP Ariba et SAP Business Network s'engagent à protéger la sécurité des clients et de leurs fournisseurs. SAP Ariba et SAP Business Network implémenteront certaines modifications obligatoires pour garantir l'utilisation d'algorithmes cryptographiques renforcés, de mécanismes de sécurité améliorés et d'une meilleure protection contre les vulnérabilités connues.

Si ce n’est pas déjà fait, passez dès que possible aux suites de chiffrement TLS 1.2 fortes (répertoriées ci-dessous) pour une sécurité renforcée. En outre, nous vous recommandons vivement d'activer TLS 1.3, qui est le protocole actuel qui fournit des connexions de sécurité maximale. Pour garantir la compatibilité et la prise en charge, effectuez les actions suivantes avant le 24 janvier 2025.

1. Activer les suites de chiffrement TLS 1.3
   Pour maximiser la sécurité de vos applications SAP Ariba et de vos connexions SAP Business Network, SAP vous recommande vivement d'activer TLS 1.3, qui sera pris en charge à partir du 24 janvier. La prise en charge de TLS 1.3 ne devrait pas être perturbatrice ou incompatible avec vos applications SAP Ariba et SAP Business Network.
   Nous vous suggérons d'utiliser au moins l'une des suites de chiffrement TLS 1.3 suivantes :
   • TLS_AES_256_GCM_SHA384
   • TLS_CHACHA20_POLY1305_SHA256
   • TLS_AES_128_GCM_SHA256
     
     Après avoir activé les suites de chiffrement TLS 1.3, les échanges TLS à partir des suites de chiffrement TLS 1.2 existantes (à l'aide de suites de chiffrement TLS 1.2 faibles ou fortes) passeront automatiquement à TLS 1.3 le 24 janvier. Si TLS 1.2 et TLS 1.3 forts sont disponibles, les connexions seront définies par défaut sur la première suite de chiffrement prise en charge activée.
     
     
2. Activer les suites de chiffrement TLS 1.2 fortes
   En plus d'activer les suites de chiffrement TLS 1.3 avant le 24 janvier, SAP vous recommande vivement d'activer désormais les suites de chiffrement TLS 1.2 fortes pour une connexion plus sécurisée.
   
   Exemples de suites de chiffrement TLS 1.2 fortes :
   • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

FAQ

En général, si la version du logiciel de connexion est relativement à jour, cela n'aura probablement pas d'impact. Si votre logiciel de connexion est assez ancien, vous devez vérifier si vous avez mis en place une interopérabilité.

1. Si vous vous connectez directement à NetWeaver ABAP ou S/4HANA (aucun middleware impliqué), dois-je apporter des modifications ?
   R : Assurez-vous que les recommandations de paramètres de la section 7 de la note SAP 510007 Considérations supplémentaires concernant la configuration de SSL sur Application Server ABAP sont en place.
   Pour limiter la sélection à TLS1.2, reportez-vous à la note SAP 2384290 SapSSL update pour faciliter les configurations TLSv1.2-only, TLSext SNI for 721+722 clients -> "Profile parameter values for limit Protocol versions to strict TLSv1.2-only" (Valeurs des paramètres de profil pour limiter les versions de protocole à TLSv1.2-only).
   
   
2. Nous utilisons SAP Process Integration (PI) ou SAP Process Orchestration (PO) comme middleware. Devons-nous prendre des mesures concernant cette modification ?
   R: Oui. Vous devez vous assurer qu'une ou toutes les suites de chiffrement TLS 1.2 fortes ci-dessus sont activées dans votre système.
   1. Le système doit avoir la version logicielle ou supérieure conformément à la note SAP 2284059 Mise à jour de la bibliothèque SSL dans le serveur Java NW (pour les chiffrements DHE) ou une version logicielle ou supérieure conformément à la note SAP 2708581 ECC Support for Outbound Connections in SAP NW AS Java (for ECDHE ciphers) ET
   2. Le fichier SSLContext.properties doit être mis à jour manuellement pour permettre la prise en charge des chiffrements TLS 1.2 forts répertoriés ci-dessus.
      
      
3. Les versions logicielles sont en place. Comment garantir l'activation d'une ou de toutes les suites de chiffrement TLS 1.2 fortes ci-dessus dans NetWeaver ?
   1. Mettez à jour le fichier SSLContext.properties conformément à l'exemple de profil 3 de la note SAP 2708581. Cela garantira que le niveau maximal d'interopérabilité est activé côté NetWeaver PI/PO.
   2. Des instructions sur la gestion du fichier SSLContext.properties sont disponibles dans KBA 2569156 Comment créer, modifier et valider un fichier SSLContext.properties.
      
      
4. Pouvons-nous activer TLS 1.3 dans SAP NetWeaver 7.50 ?
   R : Pour les connexions sortantes (PO Receiver Adapter -> SAP Ariba), no, TLS 1.3 n'est pas pris en charge dans NetWeaver 7.5 ou version inférieure pour les connexions sortantes.
   Pour les connexions entrantes (SAP Ariba -> PO Sender Adapter), oui, TLS 1.3 est pris en charge dans NetWeaver 7.5 pour les connexions entrantes avec la note SAP 3318423 TLS 1.3 pris en charge par le noyau SAP pour Netweaver AS ABAP (s'applique également à AS Java).
   
   
5. Nous utilisons SAP Integration Suite ou SAP Cloud Process Integration (CPI) comme middleware. Devons-nous prendre des mesures concernant cette modification ?
   A : Non. Ces fonctionnalités existent déjà dans SAP Integration Suite et aucune action n'y est nécessaire.
   
   
6. Est-il nécessaire de s'assurer que tous les chiffrements sont disponibles ?
   R : Non, seul 1 chiffrement commun des deux côtés de la connexion est nécessaire pour s'assurer que la connexion fonctionnera.

KBA 2708581 - Prise en charge ECC pour les connexions sortantes dans SAP NW AS Java

Services d'applications d'approvisionnement