miércoles, 13 de noviembre de 2019

Deshabilitar TLS 1.0 y TLS 1.1 en SAP



Cómo deshabilitar TLS 1.0 y TLS 1.1 en productos de SAP como SAP Web Dispatcher.



Si estás leyendo estas líneas, probablemente estés a cargo de configurar el Web Dispatcher de SAP en tu compañía y busques cómo limitar la versión de TLS que acepta el servidor a TLS 1.2 para superar una auditoría de seguridad sin que salten alertas :)

Como ya comenté, a partir de marzo de 2020, TLS 1.0 y TLS 1.1 dejarán de ser soportados por los navegadores web, por lo que deja de tener sentido soportar esos protocolos de encriptación en el Web Dispatcher de SAP, a menos que tengamos la certeza de que servimos contenido a usuarios con PCs, sistemas operativos y/o navegadores antiguos.


Opciones de configuración



En SAP, se pueden configurar los parámetros ssl/ciphersuites y ssl/client_ciphersuites usando combinaciones (sumas) de los siguientes valores:

Valor     Descripción

1            "BC" (aceptar SSL Version 2.0 CLIENT-HELLO / SSLv2Hello para TLSv1.x Handshake)
2            "BEST" (activar TLS más alto disponible)
4            "NO_GAP" (sin saltos entre protocolos TLS)
16           Permitir el envío ciego de un certificado de cliente (5.5.5pl36+ and all CCL 8.x.x)
32           "Strict protocol version configuration" (no habilitare TLSv1.0)
64            SSLv3
128          TLSv1.0
256          TLSv1.1 (solo con CommonCryptoLib (CCL) 8.4.31 o superior)
512          TLSv1.2 (solo con CommonCryptoLib (CCL) 8.4.31 o superior)

Con los valores predeterminados, el lado servidor del sistema SAP tiene todas las versiones de los protocolos SSL y TLS (más BC) habilitadas:

TLSv1.0 + SSLv3 + BC = 128 + 64 + 1 = 193
TLSv1.2 + TLSv1.1 + TLSv1.0 + SSLv3 + BC = 512 + 256 + 128 + 64 + 1 = 961

Los valores predeterminados para el lado del cliente solo permiten SSLv3 + TLSv1.0:

TLSv1.0 + SSLv3 = 128 + 64 = 192


Configurando solo TLS 1.2



Para limitar las versiones de TLS en el lado servidor a TLS 1.2 solamente, debemos configurar los cipher suites en el archivo DEFAULT.PFL (se pueden configurar en DEFAULT.PFL o en el archivo de instancia, pero SAP recomienda configurarlos en DEFAULT.PFL).

Para solo atender peticiones que lleguen con TLS 1.2 debemos usar estas líneas:

ssl/ciphersuites = 545:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_ciphersuites = 560:PFS:HIGH::EC_P256:EC_HIGH
icm/HTTPS/client_sni_enabled = TRUE
ssl/client_sni_enabled = TRUE

Los valores 545 y 560 salen de:

TLSv1.2 + STRICT_PROTOCOL_VERSIONS + BC = 512 + 32 + 1 = 545
TLSv1.2 + STRICT_PROTOCOL_VERSIONS + BLIND_CLIENT_CERTS = 512 + 32 + 16 = 560

Una vez aplicados los cambios, reiniciar instancia para aplicar la configuración.


Fuentes:

https://launchpad.support.sap.com/#/notes/510007
https://launchpad.support.sap.com/#/notes/2384290
0

0 comentarios:

Publicar un comentario