Cómo deshabilitar TLS 1.0 y TLS 1.1 en productos de SAP como SAP Web Dispatcher.
Si estás leyendo estas líneas, probablemente estés a cargo de configurar el Web Dispatcher de SAP en tu compañía y busques cómo limitar la versión de TLS que acepta el servidor a TLS 1.2 para superar una auditoría de seguridad sin que salten alertas :)
Como ya comenté, a partir de marzo de 2020, TLS 1.0 y TLS 1.1 dejarán de ser soportados por los navegadores web, por lo que deja de tener sentido soportar esos protocolos de encriptación en el Web Dispatcher de SAP, a menos que tengamos la certeza de que servimos contenido a usuarios con PCs, sistemas operativos y/o navegadores antiguos.
Opciones de configuración
En SAP, se pueden configurar los parámetros ssl/ciphersuites y ssl/client_ciphersuites usando combinaciones (sumas) de los siguientes valores:
Valor Descripción
1 "BC" (aceptar SSL Version 2.0 CLIENT-HELLO / SSLv2Hello para TLSv1.x Handshake)
2 "BEST" (activar TLS más alto disponible)
4 "NO_GAP" (sin saltos entre protocolos TLS)
16 Permitir el envío ciego de un certificado de cliente (5.5.5pl36+ and all CCL 8.x.x)
32 "Strict protocol version configuration" (no habilitare TLSv1.0)
64 SSLv3
128 TLSv1.0
256 TLSv1.1 (solo con CommonCryptoLib (CCL) 8.4.31 o superior)
512 TLSv1.2 (solo con CommonCryptoLib (CCL) 8.4.31 o superior)
Con los valores predeterminados, el lado servidor del sistema SAP tiene todas las versiones de los protocolos SSL y TLS (más BC) habilitadas:
TLSv1.0 + SSLv3 + BC = 128 + 64 + 1 = 193
TLSv1.2 + TLSv1.1 + TLSv1.0 + SSLv3 + BC = 512 + 256 + 128 + 64 + 1 = 961
Los valores predeterminados para el lado del cliente solo permiten SSLv3 + TLSv1.0:
TLSv1.0 + SSLv3 = 128 + 64 = 192
Configurando solo TLS 1.2
Para limitar las versiones de TLS en el lado servidor a TLS 1.2 solamente, debemos configurar los cipher suites en el archivo DEFAULT.PFL (se pueden configurar en DEFAULT.PFL o en el archivo de instancia, pero SAP recomienda configurarlos en DEFAULT.PFL).
Para solo atender peticiones que lleguen con TLS 1.2 debemos usar estas líneas:
ssl/ciphersuites = 545:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_ciphersuites = 560:PFS:HIGH::EC_P256:EC_HIGH
icm/HTTPS/client_sni_enabled = TRUE
ssl/client_sni_enabled = TRUE
Los valores 545 y 560 salen de:
TLSv1.2 + STRICT_PROTOCOL_VERSIONS + BC = 512 + 32 + 1 = 545
TLSv1.2 + STRICT_PROTOCOL_VERSIONS + BLIND_CLIENT_CERTS = 512 + 32 + 16 = 560
Una vez aplicados los cambios, reiniciar instancia para aplicar la configuración.
Fuentes:
https://launchpad.support.sap.com/#/notes/510007
https://launchpad.support.sap.com/#/notes/2384290
0 comentarios:
Publicar un comentario