SAP Ariba TLS Update information

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Atualização de versão KB0840650

Informações de atualização TLS da SAP Ariba

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Sintoma

Em 24 de janeiro de 2025, haverá uma alteração nos aplicativos SAP Ariba e nas conexões de conjuntos de cifras suportadas pelo SAP Business Network. Revise o seguinte, pois essa alteração pode afetar suas conexões com nossas soluções.

O QUE ACONTECERÁ

Em 24 de janeiro de 2025, os aplicativos SAP Ariba e o SAP Business Network:

Habilitar suporte para conexões TLS 1.3.
Fim do suporte para conexões TLS 1.2 fracas.
Continue a suportar conexões TLS 1.2 fortes para comunicações de entrada e de saída.
Não aceitará solicitações de correção de bugs ou de aprimoramento associadas a conjuntos de cifras TLS 1.2 fracos.

Os seguintes conjuntos de cifras TLS 1.2 fracos não serão suportados após 24 de janeiro e resultarão em falhas de conexão:

- Exemplos de conjuntos de cifras baseados em CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Exemplos de conjuntos de cifras baseados em SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Exemplos de conjuntos de cifras baseados em RSA Key Exchange:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Ambiente

SAP NetWeaver 7.5

Problema de retorno de saída

O QUE SÃO OS IMPACTOS

A partir de 24 de janeiro de 2025, ocorrerá o seguinte se o TLS 1.3 não estiver habilitado.

Para sistemas que usam somente conjuntos de cifras TLS 1.2 fracos:
- Os handshakes TLS falharão.
- Conexões seguras não serão estabelecidas.
- Todo o acesso às aplicações e à rede não estará disponível.
- Todas as funcionalidades, lançadas anteriormente ou no futuro, não funcionarão ou estarão disponíveis.
Para sistemas com conjuntos de cifras TLS 1.2 fracos e fortes habilitados:
- Os handshakes TLS usarão automaticamente as conexões TLS 1.2 fortes.
- Recomendamos que você alterne para o TLS 1.3 forte agora e remova o TLS 1.2 fraco imediatamente.

Causa

A SAP Ariba e o SAP Business Network têm o compromisso de proteger a segurança dos clientes e seus fornecedores. A SAP Ariba e o SAP Business Network implementarão algumas alterações obrigatórias para garantir o uso de algoritmos criptográficos mais robustos, mecanismos de segurança aprimorados e melhor proteção contra vulnerabilidades conhecidas.

Resolução

Se você ainda não tiver feito isso, passe para os conjuntos de cifras TLS 1.2 fortes (listados abaixo) assim que possível para maior segurança. Além disso, recomendamos fortemente a ativação do TLS 1.3, que é o protocolo atual que fornece conexões de segurança máxima. Para garantir compatibilidade e suporte, execute as seguintes ações antes de 24 de janeiro de 2025.

Habilitar conjuntos de cifras TLS 1.3
Para maximizar a segurança de seus aplicativos SAP Ariba e das conexões do SAP Business Network, recomendamos fortemente a habilitação do TLS 1.3, que será suportado a partir de 24 de janeiro. Não se espera que o suporte para TLS 1.3 seja disruptivo ou incompatível com seus aplicativos da SAP Ariba e o SAP Business Network.
Sugerimos usar pelo menos um dos seguintes conjuntos de cifras TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Depois de habilitar os conjuntos de cifras TLS 1.3, os handshakes TLS do TLS 1.2 existente (usando conjuntos de cifras TLS 1.2 fracos ou fortes) alternarão automaticamente para o TLS 1.3 em 24 de janeiro. Se o TLS 1.2 e o TLS 1.3 fortes estiverem disponíveis, as conexões usarão como padrão o primeiro conjunto de cifras suportado habilitado.
Habilitar conjuntos de cifras TLS 1.2 fortes
Além de habilitar conjuntos de cifras TLS 1.3 antes de 24 de janeiro, recomendamos vivamente a habilitação de conjuntos de cifras TLS 1.2 fortes agora para uma conexão mais segura.

Exemplos de conjuntos de cifras TLS 1.2 fortes:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Perguntas frequentes

Em geral, se a versão do software de conexão estiver relativamente atualizada, provavelmente isso não terá impacto. Se o seu software de conexão é bastante antigo, então você precisa verificar se você tem interoperabilidade no lugar.

Se você estiver se conectando diretamente ao NetWeaver ABAP ou S/4HANA (sem middleware envolvido), preciso fazer alterações?
R: Assegure que as recomendações de parâmetros da seção 7 da nota SAP 510007 Considerações adicionais sobre a configuração de SSL no servidor de aplicação ABAP estejam em vigor.
Para restringir a TLS1.2, consulte a nota SAP 2384290 atualização SapSSL para facilitar configurações somente TLSv1.2, TLSext SNI para 721+722 mandantes -> "Valores de parâmetro de perfil para limitar versões de protocolo a somente TLSv1.2 restritos"
Estamos usando o SAP Process Integration (PI) ou o SAP Process Orchestration (PO) como middleware. Precisamos tomar alguma medida em relação a essa mudança?
R: Sim. Você precisa garantir que um ou todos os conjuntos de cifras TLS 1.2 fortes acima estão habilitados em seu sistema.
1. O sistema deve ter a versão de software ou superior de acordo com a Nota SAP 2284059 Atualização da biblioteca SSL no servidor NW Java (para codificações DHE) ou versão de software ou superior, de acordo com a nota SAP 2708581 ECC Suporte para conexões de saída no SAP NW AS Java (para codificações ECDHE) E
2. O arquivo SSLContext.properties deve ser atualizado manualmente para habilitar o suporte para as cifras TLS 1.2 fortes listadas acima.
As versões de software estão em vigor, como garantimos que um ou todos os conjuntos de cifras TLS 1.2 fortes acima estão habilitados no NetWeaver?
1. Atualize o arquivo SSLContext.properties de acordo com o perfil de exemplo 3 da nota SAP 2708581 - isso garantirá que o nível máximo de interoperabilidade esteja ativado no lado do PI/PO NetWeaver.
2. Instruções sobre como manter o arquivo SSLContext.properties estão disponíveis no KBA 2569156 Como criar, modificar e validar o arquivo SSLContext.properties.
Podemos ativar o TLS 1.3 no SAP NetWeaver 7.50?
R: Para conexões de saída (PO Receiver Adapter -> SAP Ariba), no, TLS 1.3 não é suportado no NetWeaver 7.5 ou inferior para conexões de saída.
Para conexões de entrada (SAP Ariba -> Adaptador emissor do pedido), sim, o TLS 1.3 é suportado no NetWeaver 7.5 para conexões de entrada com a nota SAP 3318423 TLS 1.3 Suportado pelo núcleo SAP para Netweaver AS ABAP, (o mesmo é aplicável a AS Java).
Estamos usando o SAP Integration Suite ou o SAP Cloud Process Integration (CPI) como nosso middleware. Precisamos tomar alguma medida em relação a essa mudança?
A: Não. Esses recursos já existem no SAP Integration Suite e não são necessárias ações lá.
É necessário garantir que todas as codificações estejam disponíveis?
R: Não, apenas 1 cifra comum em ambos os lados da conexão é necessária para garantir que a conexão funcionará.

Veja também

KBA 2708581 - Suporte ECC para conexões de saída no SAP NW AS Java

Aplicável a

Serviços de aplicativo de compras