SAP Ariba TLS Update information

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Atualização de versão KB0840650

Informações de atualização do TLS da SAP Ariba

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Sintoma

Em 24 de janeiro de 2025, haverá uma alteração nos aplicativos da SAP Ariba e nas conexões de conjuntos de cifras suportadas pelo SAP Business Network. Revise o seguinte, pois essa alteração pode afetar suas conexões com nossas soluções.

O QUE ACONTECEU

Em 24 de janeiro de 2025, os aplicativos SAP Ariba e o SAP Business Network:

Habilitar suporte para conexões TLS 1.3.
Encerrar suporte para conexões TLS 1.2 fracas.
Continue a suportar conexões TLS 1.2 fortes para comunicações de entrada e de saída.
Não aceitará solicitações de correção de bugs ou de aprimoramento associadas a conjuntos de cifras TLS 1.2 fracos.

Os seguintes conjuntos de cifras TLS 1.2 fracos não serão suportados após 24 de janeiro e resultarão em falhas de conexão:

- Exemplos de conjuntos de cifras baseados em CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Exemplos de conjuntos de cifras baseados em SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Exemplos de conjuntos de cifras baseados no RSA Key Exchange:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Ambiente

SAP NetWeaver 7.5

Reprodução do problema

QUAIS SÃO OS IMPACTOS

A partir de 24 de janeiro de 2025, ocorrerá o seguinte se o TLS 1.3 não estiver habilitado.

Para sistemas que usam somente conjuntos de cifras TLS 1.2 fracos:
- Os handshakes TLS falharão.
- Conexões seguras não serão estabelecidas.
- Todo o acesso aos aplicativos e à rede não estará disponível.
- Todas as funcionalidades, lançadas anteriormente ou no futuro, não funcionarão ou não estarão disponíveis.
Para sistemas com conjuntos de cifras TLS 1.2 fracos e fortes habilitados:
- Os handshakes TLS usarão automaticamente as conexões TLS 1.2 fortes.
- Recomendamos que você alterne agora para o TLS 1.3 forte e remova imediatamente o TLS 1.2 fraco.

Causa

A SAP Ariba e o SAP Business Network estão comprometidos em proteger a segurança dos clientes e respectivos fornecedores. O SAP Ariba e o SAP Business Network implementarão algumas alterações obrigatórias para garantir o uso de algoritmos criptográficos mais robustos, mecanismos de segurança aprimorados e melhor proteção contra vulnerabilidades conhecidas.

Resolução

Se você ainda não o fez, passe para os conjuntos de cifras TLS 1.2 fortes (listados a seguir) assim que possível para maior segurança. Além disso, recomendamos fortemente a ativação do TLS 1.3, que é o protocolo atual que fornece conexões de segurança máximas. Para garantir a compatibilidade e o suporte, execute as seguintes ações antes de 24 de janeiro de 2025.

Habilitar conjuntos de cifras TLS 1.3
Para maximizar a segurança de seus aplicativos SAP Ariba e conexões do SAP Business Network, recomendamos expressamente a habilitação do TLS 1.3 que será suportado a partir de 24 de janeiro. O suporte para TLS 1.3 não deve ser disruptivo ou incompatível com seus aplicativos da SAP Ariba e o SAP Business Network.
Sugerimos o uso de pelo menos um dos seguintes conjuntos de cifras TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Depois de habilitar os conjuntos de cifras TLS 1.3, os handshakes TLS do TLS 1.2 existente (usando conjuntos de cifras TLS 1.2 fracos ou fortes) mudarão automaticamente para o TLS 1.3 em 24 de janeiro. Se estiverem disponíveis tanto o TLS 1.2 quanto o TLS 1.3 fortes, as conexões terão como padrão o primeiro conjunto de cifras suportado habilitado.
Habilitar conjuntos de cifras TLS 1.2 fortes
Além de habilitar conjuntos de cifras TLS 1.3 antes de 24 de janeiro, recomendamos fortemente a habilitação de conjuntos de cifras TLS 1.2 fortes agora, para uma conexão mais segura.

Exemplos de conjuntos de cifras TLS 1.2 fortes:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Perguntas frequentes

Em geral, se a versão do software de conexão estiver relativamente atualizada, provavelmente isso não afetará. Se o seu software de conexão é bastante antigo, então você precisa verificar se você tem interoperabilidade no lugar.

Se você estiver se conectando diretamente ao NetWeaver ABAP ou S/4HANA (nenhum middleware envolvido), preciso fazer alguma alteração?
R: Certifique-se de que as recomendações de parâmetros da seção 7 da nota SAP 510007 Considerações adicionais sobre a configuração de SSL no servidor de aplicação ABAP estão em vigor.
Para restringir a TLS1.2, consulte a nota SAP 2384290 Atualização de SapSSL para facilitar configurações somente TLSv1.2-TLSext SNI para mandantes 721+722 -> "Valores de parâmetro de perfil para limitar versões de protocolo a TLSv1.2-só rígido"
Estamos usando o SAP Process Integration (PI) ou o SAP Process Orchestration (PO) como nosso middleware. Precisamos tomar alguma medida em relação a essa mudança?
A: Sim. Você precisa garantir que um ou todos os conjuntos de cifras TLS 1.2 fortes acima estão habilitados em seu sistema.
1. O sistema deve ter a versão do software ou superior, de acordo com a nota SAP 2284059 Atualização da biblioteca SSL no servidor Java NW (para codificações DHE) ou versão de software ou superior, de acordo com a nota SAP 2708581 Suporte ECC para conexões de saída no SAP NW AS Java (para codificações ECDHE) AND
2. O arquivo SSLContext.properties deve ser atualizado manualmente para habilitar o suporte para as criptografias TLS 1.2 fortes listadas acima.
As versões de software estão em vigor, como garantimos que um ou todos os conjuntos de cifras TLS 1.2 fortes acima estão habilitados no NetWeaver?
1. Atualize o arquivo SSLContext.properties de acordo com o Perfil de exemplo 3 da nota SAP 2708581 - isso garantirá que o nível máximo de interoperabilidade seja ativado no lado do NetWeaver PI/PO.
2. Instruções sobre como atualizar o arquivo SSLContext.properties estão disponíveis no KBA 2569156 Como criar, modificar e validar o arquivo SSLContext.properties.
Podemos ativar o TLS 1.3 no SAP NetWeaver 7.50?
R: Para conexões de saída (PO Receiver Adapter -> SAP Ariba), não, o TLS 1.3 não é suportado no NetWeaver 7.5 ou inferior para conexões de saída.
Para conexões de entrada (SAP Ariba -> PO Sender Adapter), sim, o TLS 1.3 é suportado no NetWeaver 7.5 para conexões de entrada com a nota SAP 3318423 Is TLS 1.3 Supported by SAP Kernel for Netweaver AS ABAP, (o mesmo se aplica ao AS Java).
Estamos usando o SAP Integration Suite ou o SAP Cloud Process Integration (CPI) como nosso middleware. Precisamos tomar alguma medida em relação a essa mudança?
A: Não. Essas capacidades já existem no SAP Integration Suite e não são necessárias ações aí.
É necessário garantir que todas as criptografias estejam disponíveis?
R: Não, apenas 1 cifra comum em ambos os lados da conexão é necessária para garantir que a conexão funcionará.

Consulte também

KBA 2708581 - Suporte ECC para conexões de saída no SAP NW AS Java

Aplicável a

Serviços de aplicativo de compras