Actualización a los estándares de seguridad de NIST SP 800-131A
El estándar del Instituto Nacional de Estándares y Tecnología (NIST) para Publicaciones especiales 800-131A (SP 800-131A) proporciona una guía para migrar al uso de claves criptográficas más potentes y algoritmos más sólidos. Para asegurarse de que es totalmente compatible, consulte el estándar NIST SP 800-131A.
Por qué y cuándo se efectúa esta tarea
- Las firmas digitales deben utilizar como mínimo el algoritmo de hash SHA-2 pero se puede seguir utilizando el algoritmo de hash SHA-1 para la validación. De forma predeterminada, HCL Commerce Version 9 utiliza SHA-2.
- Asegúrese de que las claves criptográficas se ajustan a un nivel de clave mínimo de 112 bits.
- Para los entornos de ejecución, habilite TLS 1.2 para SSL e inhabilite los protocolos anteriores a TLS 1.2.
Procedimiento
Asegúrese de que sea el soporte adecuado para TLS 1.2 en entornos de ejecución anteriores a 9.0.0.6. En las versiones 9.0.0.6+ de HCL Commerce, TLS 1.2 está habilitado de forma predeterminada.
- Si ejecuta una versión HCL Commerce que precede a la versión 9.0.06, configure el servidor web para que requiera como mínimo al TLS 1.2. Por ejemplo, para IBM HTTP Server 9.0.0.5, añada la siguiente directiva al archivo de configuración del servidor web httpd.conf. Esta directiva inhabilita los protocolos HTTPS inferiores a TLS 1.2 para todos los hosts virtuales con la directiva SSLEnable habilitada:
Puede encontrar el archivo en el contenedor Docker del servidor Web ( projectname_web_1) en /opt/WebSphere/HTTPServer/conf/httpd.conf.SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11
- Si HCL Commerce se integra con LDAP utilizando SSL, establezca el protocolo SSL en TLS 1.2.
- Si se utiliza correo electrónico de salida sobre SSL, configure el correo electrónico para que utilice TLS 1.2.
- Asegúrese de que los navegadores que están interactuando con HCL Commerce están utilizando TLS 1.2, por ejemplo Internet Explorer 8 o posterior en Windows 7 o posterior.
- Si ejecuta una versión HCL Commerce que precede a la versión 9.0.06, configure el servidor web para que requiera como mínimo al TLS 1.2. Por ejemplo, para IBM HTTP Server 9.0.0.5, añada la siguiente directiva al archivo de configuración del servidor web httpd.conf. Esta directiva inhabilita los protocolos HTTPS inferiores a TLS 1.2 para todos los hosts virtuales con la directiva SSLEnable habilitada:
Asegúrese de que los certificados web y los certificados que se utilizan para integrar HCL Commerce con otras aplicaciones (como Sterling OMS) se actualizan para satisfacer las siguientes especificaciones de NIST SP 800-131A:
- Todos los certificados con claves RSA o DSA que tienen menos de 2048 bits de longitud se deben sustituir por certificados con 2048 bits o más.
- Los certificados con claves de curva elíptica con menos de 160 bits de longitud deben sustituirse por claves más largas. Póngase en contacto con el emisor de la entidad emisora de certificados (CA) para obtener certificados nuevos.
- Todos los certificados deben estar firmados por un algoritmo de firma permitido. Por ejemplo, SHA-256, SHA-384 o SHA-512. Los algoritmos de resumen SHA1 ya no están permitidos.
-
Configure WebSphere Application Server para NIST SP 800-131A:
- Para un entorno de producción, Habilite la modalidad estricta de NIST SP 800-131A.
- Para un entorno de transición, Habilite la modalidad de transición de NIST SP 800-131A.
- Para un entorno de desarrollador, Habilite la modalidad de transición de NIST SP 800-131A. Dado que el entorno de desarrollador es interno, normalmente no es necesario habilitar NIST.
Nota: En un entorno de desarrollo de tiempo de ejecución o de garantía de calidad, puede acceder a la Consola de administración de WebSphere Application Server mediante el nombre de host que ejecuta el contenedor Docker del servidor de transacción. En un entorno de producción, es posible que desee considerar la posibilidad de crear mandatos de motor de ejecución personalizados para configurar los valores en una nueva imagen de Docker. Para obtener más información, consulte Crear sus propios mandatos Run Engine. -
Configure Liberty para NIST SP 800-131A:
- Para un entorno de producción, Habilite el modo estricto de NIST SP 800-131A.Configure WebSphere Application Server Liberty to use the SP800-131 standard strict mode
- Para un entorno de transición, Habilite la modalidad de transición de NIST SP 800-131A.
- Para un entorno de desarrollador, Habilite la modalidad de transición de NIST SP 800-131A.