Actualización a los estándares de seguridad de NIST SP 800-131A

El estándar del Instituto Nacional de Estándares y Tecnología (NIST) para Publicaciones especiales 800-131A (SP 800-131A) proporciona una guía para migrar al uso de claves criptográficas más potentes y algoritmos más sólidos. Para asegurarse de que es totalmente compatible, consulte el estándar NIST SP 800-131A.

Por qué y cuándo se efectúa esta tarea

Para cumplir con NIST SP 800-131A, asegúrese de que el entorno se ajusta a los estándares siguientes:
  • Las firmas digitales deben utilizar como mínimo el algoritmo de hash SHA-2 pero se puede seguir utilizando el algoritmo de hash SHA-1 para la validación. De forma predeterminada, HCL Commerce Version 9 utiliza SHA-2.
  • Asegúrese de que las claves criptográficas se ajustan a un nivel de clave mínimo de 112 bits.
  • Para los entornos de ejecución, habilite TLS 1.2 para SSL e inhabilite los protocolos anteriores a TLS 1.2.

Procedimiento

  1. Linux Asegúrese de que sea el soporte adecuado para TLS 1.2 en entornos de ejecución anteriores a 9.0.0.6. En las versiones 9.0.0.6+ de HCL Commerce, TLS 1.2 está habilitado de forma predeterminada.
    • Si ejecuta una versión HCL Commerce que precede a la versión 9.0.06, configure el servidor web para que requiera como mínimo al TLS 1.2. Por ejemplo, para IBM HTTP Server 9.0.0.5, añada la siguiente directiva al archivo de configuración del servidor web httpd.conf. Esta directiva inhabilita los protocolos HTTPS inferiores a TLS 1.2 para todos los hosts virtuales con la directiva SSLEnable habilitada: 
      SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11
      Puede encontrar el archivo en el contenedor Docker del servidor Web ( projectname_web_1) en /opt/WebSphere/HTTPServer/conf/httpd.conf.
    • Si HCL Commerce se integra con LDAP utilizando SSL, establezca el protocolo SSL en TLS 1.2.
    • Si se utiliza correo electrónico de salida sobre SSL, configure el correo electrónico para que utilice TLS 1.2.
    • Asegúrese de que los navegadores que están interactuando con HCL Commerce están utilizando TLS 1.2, por ejemplo Internet Explorer 8 o posterior en Windows 7 o posterior.
  2. Linux Asegúrese de que los certificados web y los certificados que se utilizan para integrar HCL Commerce con otras aplicaciones (como Sterling OMS) se actualizan para satisfacer las siguientes especificaciones de NIST SP 800-131A:
    • Todos los certificados con claves RSA o DSA que tienen menos de 2048 bits de longitud se deben sustituir por certificados con 2048 bits o más.
    • Los certificados con claves de curva elíptica con menos de 160 bits de longitud deben sustituirse por claves más largas. Póngase en contacto con el emisor de la entidad emisora de certificados (CA) para obtener certificados nuevos.
    • Todos los certificados deben estar firmados por un algoritmo de firma permitido. Por ejemplo, SHA-256, SHA-384 o SHA-512. Los algoritmos de resumen SHA1 ya no están permitidos.
  3. Configure WebSphere Application Server para NIST SP 800-131A:
    Nota: En un entorno de desarrollo de tiempo de ejecución o de garantía de calidad, puede acceder a la Consola de administración de WebSphere Application Server mediante el nombre de host que ejecuta el contenedor Docker del servidor de transacción. En un entorno de producción, es posible que desee considerar la posibilidad de crear mandatos de motor de ejecución personalizados para configurar los valores en una nueva imagen de Docker. Para obtener más información, consulte Crear sus propios mandatos Run Engine.
  4. Configure Liberty para NIST SP 800-131A: