SAP Ariba TLS Update information

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Aggiornamento di versione KB0840650

Informazioni di aggiornamento di SAP Ariba TLS

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Sintomo

Il 24 gennaio 2025, verrà apportata una modifica alle connessioni con suite di cifratura supportate dalle applicazioni SAP Ariba e da SAP Business Network. Rivedere quanto segue perché questa modifica potrebbe influire sulle connessioni con le nostre soluzioni.

CHE COSA HANNO

Il 24 gennaio 2025, le applicazioni SAP Ariba e SAP Business Network:

Abilitare il supporto per le connessioni TLS 1.3.
Terminare il supporto delle connessioni TLS 1.2 deboli.
Continuare a supportare connessioni TLS 1.2 forti per le comunicazioni in entrata e in uscita.
Non accetterà richieste di miglioramento o correzione di bug associate a suite di cifratura TLS 1.2 deboli.

Le seguenti suite di cifratura TLS 1.2 deboli non saranno supportate dopo il 24 gennaio e determineranno errori di connessione:

- Esempi di suite di cifratura basate su CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Esempi di suite di cifratura basate su SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Esempi di suite di cifratura basata su RSA Key Exchange:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Ambiente

SAP NetWeaver 7.5

Riproduzione del problema

QUALI SONO GLI IMPATTI

A partire dal 24 gennaio 2025, se TLS 1.3 non è abilitato, si verificherà quanto segue.

Per i sistemi che utilizzano solo suite di cifratura TLS 1.2 deboli:
- Gli handshake TLS non riusciranno.
- Le connessioni protette non verranno stabilite.
- Tutti gli accessi alle applicazioni e alla rete non saranno disponibili.
- Tutte le funzionalità, rilasciate in precedenza o in futuro, non funzioneranno o saranno disponibili.
Per i sistemi con suite di cifratura TLS 1.2 sia deboli che forti:
- Gli handshake TLS utilizzeranno automaticamente le connessioni TLS 1.2 forti.
- Si consiglia di passare ora a TLS 1.3 forte e rimuovere immediatamente il TLS 1.2 debole.

Causa

SAP Ariba e SAP Business Network si impegnano a proteggere la sicurezza dei clienti e dei loro fornitori. SAP Ariba e SAP Business Network implementeranno alcune modifiche obbligatorie per garantire l'utilizzo di algoritmi crittografici più forti, meccanismi di sicurezza migliorati e una migliore protezione dalle vulnerabilità note.

Soluzione

Se non è già stato fatto, passare quanto prima alle suite di cifratura TLS 1.2 forti (elencate di seguito) per migliorare la sicurezza. Inoltre, si consiglia vivamente di abilitare TLS 1.3, che è il protocollo corrente che fornisce la massima sicurezza delle connessioni. Per garantire la compatibilità e il supporto, eseguire le seguenti azioni prima del 24 gennaio 2025.

Abilita suite di cifratura TLS 1.3
Per massimizzare la sicurezza delle proprie connessioni SAP Ariba e SAP Business Network, si consiglia vivamente di abilitare TLS 1.3, che sarà supportato a partire dal 24 gennaio. Non si prevede che il supporto di TLS 1.3 sia dirompente o incompatibile con le applicazioni SAP Ariba e SAP Business Network.
Si consiglia di utilizzare almeno una delle seguenti suite di cifratura TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Dopo l'abilitazione delle suite di cifratura TLS 1.3, gli handshake TLS da TLS 1.2 esistenti (utilizzando suite di cifratura TLS 1.2 deboli o forti) passeranno automaticamente a TLS 1.3 il 24 gennaio. Se sono disponibili sia TLS 1.2 che TLS 1.3 forti, le connessioni verranno impostate in modo predefinito sulla prima suite di cifratura supportata abilitata.
Abilita suite di cifratura TLS 1.2 forti
Oltre ad abilitare le suite di cifratura TLS 1.3 prima del 24 gennaio, si consiglia vivamente di abilitare ora le suite di cifratura TLS 1.2 forti, per una connessione più sicura.

Esempi di suite di cifratura TLS 1.2 forti:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Domande frequenti

In generale, se la versione del software di connessione è relativamente aggiornata, probabilmente questo non avrà impatto. Se il software di connessione è abbastanza vecchio, è necessario verificare se si dispone di interoperabilità.

Se ci si connette direttamente a NetWeaver ABAP o S/4HANA (nessun middleware interessato), è necessario apportare modifiche?
R: Accertarsi che siano presenti raccomandazioni parametro dalla sezione 7 della nota SAP 510007 Considerazioni supplementari sulla configurazione di SSL su Application Server ABAP.
Per limitare a TLS1.2, fare riferimento alla nota SAP 2384290 SapSSL update per semplificare le configurazioni solo TLSv1.2, TLSext SNI per client 721+722 -> "Valori dei parametri profilo per limitare le versioni del protocollo solo a TLSv1.2-rigoroso"
Stiamo utilizzando SAP Process Integration (PI) o SAP Process Orchestration (PO) come middleware. Dobbiamo intervenire in merito a questa modifica?
A: Sì. È necessario assicurarsi che una o tutte le suite di cifratura TLS 1.2 forti di cui sopra siano abilitate nel sistema.
1. Il sistema deve disporre della versione software o superiore come indicato nella nota SAP 2284059 Aggiornamento della libreria SSL all'interno del server NW Java (per crittografie DHE) o versione software o superiore come da nota SAP 2708581 ECC Supporto per connessioni in uscita in SAP NW AS Java (per crittografie ECDHE) E
2. Il file SSLContext.properties deve essere aggiornato manualmente per abilitare il supporto delle crittografie TLS 1.2 forti elencate sopra.
Le versioni software sono disponibili, come possiamo garantire che una o tutte le suite di cifratura TLS 1.2 di cui sopra siano abilitate in NetWeaver?
1. Aggiornare il file SSLContext.properties in base al profilo esemplificativo 3 dalla nota SAP 2708581 - ciò garantirà che il livello massimo di interoperabilità sia attivato sul lato NetWeaver PI/PO.
2. Le istruzioni per la gestione del file SSLContext.properties sono disponibili in KBA 2569156 Come creare, modificare e convalidare il file SSLContext.properties.
È possibile abilitare TLS 1.3 in SAP NetWeaver 7.50?
R: per le connessioni in uscita (PO Receiver Adapter -> SAP Ariba), no, TLS 1.3 non è supportato in NetWeaver 7.5 o versione precedente per le connessioni in uscita.
Per le connessioni in entrata (SAP Ariba -> PO Sender Adapter), sì, TLS 1.3 è supportato in NetWeaver 7.5 per le connessioni in entrata con la nota SAP 3318423 È TLS 1.3 supportato da SAP Kernel per Netweaver AS ABAP (lo stesso vale per AS Java).
Stiamo utilizzando SAP Integration Suite o SAP Cloud Process Integration (CPI) come middleware. Dobbiamo intervenire in merito a questa modifica?
A: n. Queste funzionalità esistono già in SAP Integration Suite e non sono necessarie azioni in tale ambito.
È necessario garantire che tutte le crittografie siano disponibili?
R: No, solo 1 cifrario comune su entrambi i lati della connessione è necessario per garantire che la connessione funzioni.

Vedi anche

KBA 2708581 - Supporto ECC per connessioni in uscita in SAP NW AS Java

Si applica a

Servizi dell’applicazione di approvvigionamento