Mise à jour vers la norme de sécurité NIST SP 800-131A

La norme NIST (National Institute of Standards and Technology) Special Publications 800-131A (SP800-131A) fournit des conseils relatifs pour migrer vers l'utilisation de clés cryptographiques plus puissantes et d'algorithmes plus robustes. Pour garantir une conformité intégrale, reportez-vous à la norme NIST SP 800-131A.

Pourquoi et quand exécuter cette tâche

Pour établir une conformité avec la norme NIST SP 800-131A, vérifiez que votre environnement respecte les normes suivantes :
  • Les signatures électroniques doivent utiliser au minimum l'algorithme de hachage SHA-2, mais l'algorithme de hachage SHA-1 peut toujours être utilisé pour validation. Par défaut, HCL Commerce Version 9 utilise SHA-2.
  • Vérifiez que les clés cryptographiques adhèrent à un niveau de chiffrement minimal de 112 bits.
  • Pour les environnements d'exécution, activez TLS 1.2 pour SSL et désactivez les protocoles antérieurs à TLS 1.2.

Procédure

  1. Linux Assurez une prise en charge adéquate de TLS 1.2 dans les environnements d'exécution antérieure à la version 9.0.0.6. Dans HCL Commerce versions 9.0.0.6+, TLS 1.2 est désormais activé par défaut.
    • Si vous exécutez une version HCL Commerce antérieure à la version 9.0.06, configurez votre serveur Web pour qu'il nécessite au minimum TLS 1.2. Par exemple, pour IBM HTTP Server 9.0.0.5, ajoutez la directive suivante à votre fichier de configuration de serveur Web httpd.conf. Cette directive désactive les protocoles HTTPS inférieurs à TLS 1.2 pour tous les hôtes virtuels avec la directive SSLEnable activée : 
      SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11
      Vous pouvez trouver le fichier dans le conteneur Web Server Docker ( projectname _web_1) à /opt/WebSphere/HTTPServer/conf/httpd.conf.
    • Si HCL Commerce est intégré à LDAP à l'aide de SSL, définissez le protocole SSL sur TLS 1.2.
    • Si les courriers électroniques sortants sont utilisés via SSL, configurez-les pour qu'ils utilisent TLS 1.2.
    • Assurez-vous que les navigateurs qui interagissent avec HCL Commerce utilisent TLS 1.2, par exemple, Internet Explorer 8 ou suivant sur Windows 7 ou suivant.
  2. Linux Vérifiez que les certificats Web et les certificats qui sont utilisés pour intégrer HCL Commerce à d'autres applications (telles que Sterling OMS) sont mis à niveau de manière à être conformes à la norme NIST SP 800-131A :
    • Tous les certificats utilisant des clés RSA ou DSA de moins de 2048 bits doivent être remplacés par des certificats qui utilisent 2048 bits ou plus.
    • Les certificats utilisant des clés de courbe elliptique de moins de 160 bits doivent être remplacés par des clés plus longues. Demandez de nouveaux certificats à l'émetteur de l'autorité de certification.
    • Tous les certificats doivent être signés par un algorithme de signature autorisé. Par exemple, SHA-256, SHA-384 ou SHA-512. Les algorithmes de prétraitement SHA-1 ne sont plus autorisés.
  3. Configurez WebSphere Application Server pour NIST SP 800-131A :
    Remarque : Dans un environnement de développement ou d'assurance qualité, vous pouvez accéder à la console d'administration WebSphere Application Server via le nom d'hôte qui exécute le conteneur Docker du serveur de transactions. Pour un environnement de production, vous pouvez envisager de créer des commandes Run Engine personnalisées pour configurer les paramètres dans une nouvelle image Docker. Pour plus d'informations, voir Création de vos propres commandes Run Engine.
  4. Configurez Liberty pour NIST SP 800-131A :