ESTEID-SK 2015 vahesertifikaadi kasutusele võtmisega seotud info e-teenuste pakkujatele

NB! Artiklis info uueneb jooksvalt! 

Miks muudatused toimuvad?

Tulenevalt Riigi Infosüsteemi Ameti nõudest piirata vananeva räsialgoritmi SHA-1 kasutamist, on Politsei- ja Piirivalveamet tellinud ja AS Sertifitseerimiskeskus (SK) kasutusele võtnud uue ESTEID-SK 2015 vahesertifikaadi (intermediate certificate), mille alt väljastatakse alates 01.03.2016 ID-kaartidele ja Mobiil-IDle väljastama senisest tugevamatel krüptograafilistel algoritmidel põhinevaid lõppkasutaja sertifikaate.

Milline on selle muudatuse mõju?

Antud muudatus puudutab kõiki infosüsteeme ja rakendusi, kus on võimalik ID-kaardi (sh digi-ID, elamisloakaart, e-residendi digi-ID) või Mobiil-IDd kasutades autentida või digitaalallkirjastada. Samuti kõiki infosüsteeme, kus on võimalik kontrollida digitaalallkirjade kehtivust.

Kõik vajalikud seadistused on võimalik infosüsteemides ette ära teha.

Millal hakatakse uutest ahelatest sertifikaate väljastama?

Uuest ahelast väljastatakse isikusertifikaate alates 01.03.2016

Mis juhtub kui uute sertifikaatide tuge ei ole lisatud?

Kui uus ESTEID-SK 2015 vahesertifikaat on serveri konfiguratsiooni lisamata siis ei ole võimalik isikutel, kelle ID-kaardi või Mobiil-ID sertifikaadid on loodud või uuendatud pärast muudatuse rakendamist vastavasse e-teenusesse autentida. Ühtlasi ei ole võimalik nendel isikutel uuendamata e-teenustes digitaalallkirju anda, samuti ei ole võimalik kontrollida antud isikute poolt antud digitaalallkirju.

Kust saab uue vahesertifikaadi?

Uus vahesertifikaat nimega ESTEID-SK 2015 on kättesaadav SK repositooriumist - www.sk.ee/certs 

Millised on muudatused uues vahesertifikaadis?

  • ESTEID-SK 2015 baseerub 4096-bitisel RSA võtmel ja on väljastatud kasutades SHA-384 (sha384WithRSAEncryption) räsialgoritmi.
  • Sertifikaadi eraldusnimesse (DN) on lisandunud väli OrganizationIdentifier (OID 2.5.4.97) ja see on väärtustatud NTREE-10747013. Seda nõuab ETSI standardi EN 319412-3 punkt 4.2.1 ja sisu on lahti seletatud standardi EN 319412-1 punktis 5.1.4. NB! OrganizationIdentifier on uus, vähem levinud laiendus ja ei pruugi olla tarkvaradesse sisse kirjutatud või siis tarkvarad tõlgendavad teda erinevalt. Nt. tarkvara ei tunne OrganizationIdentifier laiendust ja kirjutab selle kui tundmatu laienduse nimeks OID.2.5.4.97.
  • Sertifikaadi sees on lisandunud Extended Key Usage ja Name Constraints väljad, et uut vahesertifikaati saaks vastavalt CA/B Forum Baseline Requirements punktile 7.1.5 lugeda tehniliselt piiratud sertifitseerijaks. Rakendustarkvarad saavad nende väljade alusel rakendada automaatkontrollid, mis välistavad kõikide ESTEID-SK 2015 alt väljastatud veebiserveri (SSL) sertifikaatide tunnustamise, kuna selliseid ei tohi olemas olla.
  • Sertifikaadi sees on muutunud Policy Qualifier väljade sisu, et paremini vastata standardi RFC 3647 nõuetele. Sellega seoses muutuvad ka sertifitseerimispõhimõtete OID numbrid lühemaks, lõpust kaob ära versiooninumbri tunnus. Viidatakse ka otse ETSI EN 319411 standarditele.
  • Sertifikaati on lisatud AIA laiendus (Authority Information Access extension), mille järgi saab leida EECCRCA sertifikaadi ja tema poolt väljastatud sertifikaatide OCSP teenuse asukoha.
  • ESTEID-SK 2015 sertifikaat on väljaantud olemasoleva juursertifikaadi (EE Certification Centre Root CA) poolt.
  • ESTEID- SK 2015 poolt väljastatud sertifikaatide kehtivuse kontrolliks vastu OCSP teenust tuleb kasutada sertifikaati SK OCSP RESPONDER 2011.
  • ESTEID-SK 2015 tühistusnimekiri on kättesaadav http://www.sk.ee/crls/esteid/esteid2015.crl

SK uue sertifitseerimisahela kirjelduse leiad siit ja vana sertifitseerimisahela kirjelduse leiad siit.

Millised on muudatused lõppkasutaja sertifikaatides?

  • Kõik lõppkasutajatele väljastatavad sertifikaadid baseeruvad 2048-bitisel RSA võtmel ja sisaldavad SHA-256 (sha256WithRSAEncryption) räsialgoritmi.
  • Sertifikaadi väljaandja (Issuer) väljale on lisandunud väli OrganizationIdentifier (OID 2.5.4.97), vaata ka selgitust eelmises punktis.

Mida peab tegema ID-kaardiga autentimist võimaldava infosüsteemi administraator?

ID-kaardiga isikutuvastuseks tuleb veebiserveritesse ja ID-kaardi autentimist kasutatavatesse rakendusserveritesse lisada LISAKS olemasolevatele sertifikaatidele uue vahesertifikaadi tugi. Uus sertifikaat tuleb lisada aktsepteeritud sertifikaatide nimekirja, samuti tuleb seadistada toimima ka uue ESTEID-SK 2015 poolt välja antud sertifikaatide kehtivuse kontroll. Selleks tuleb kasutada SK kehtivuskinnitusteenust (OCSP) või tühistusnimekirja (CRL) teenust.

ESTEID-SK 2015 poolt välja antud sertifikaatide kehtivuse kontrolli päringute vastuseid tuleb verifitseerida SK OCSP RESPONDER 2011 sertifikaadiga.

Need teenused, mis kasutavad SK Autentimise OCSP teenust sertifikaatide kehtivuse kontrolliks, peavad vastused verifitseerima AUTHENTICATION OCSP RESPONDER sertifikaadiga.

Lisaks tuleb uus sertifikaat seadistada muudesse süsteemidesse, mis ID-kaardi sertifikaate kasutavad (VPN-i kliendid, arvutivõrku logimise lahendused).

Juhendid:

Mida peab tegema DigiDoc teekide kasutaja?

DigiDoc teekide kasutajad peavad lisama teegi poolt kasutatavasse sertifikaatide kataloogi sertifikaadi ESTEID-SK 2015. Seejärel on tarvis lisada viited sellele sertifikaadile ka teekide konfiguratsioonifaili.

Täpsed juhised teekides ESTEID-SK 2015 toe seadistamiseks leiab:

Teekides sertifikaatide usaldusnimekirja (TSL-i) kasutajad peavad kasutama uusimat TJA poolt publitseeritud nimekirja.

Mida peab tegema TempelPlus tarkvara kasutaja?

TempelPlus tarkvara kasutajad peavad lisama jdigidoc teegi poolt kasutatavasse sertifikaatide kataloogi sertifikaadi ESTEID-SK 2015 ja seejärel lisama viite konfiguratsioonifaili. Täpse juhise leiab siit.

Kuidas saab testida?

Oleme loonud .ddoc, .bdoc, asic-e failid, mis on allkirjastatud ESTEID-SK 2015 alt väljastatud sertifikaadiga ja kehtivuskinnitus on signeeritud SK OCSP RESPONDER 2011sertifikaatiga. Nende failidega saate testida, kas teie digiallkirjastamise süsteemides, teekides ja dokumendihaldussüsteemides on kõik vajalikud sertifikaadid korrektselt seadistatud. 

Selleks, et saaksite testida sertifikaatides tehtud muudatuste mõju oma rakendustele ja süsteemidele on võimalik SK-st tellida test ID-kaarte, mille sertifikaadid on väljastatud TEST of ESTEID-SK 2015 alt. Testkaarte saab tellida SK kodulehel oleva vormi kaudu.

Mida peab tegema DigiDocService veebiteenuse kasutaja?

DigiDocService veebiteenusesse lisab SK ise uue sertifikaadid ning seetõttu DigiDocService kasutajad ei pea üldjuhul oma infosüsteemis mingeid muudatusi tegema.

Milline on muudatuse mõju tavakasutajale?

Uute sertifikaatidega ID-kaardiga digitaalallkirja andmiseks DigiDoc3 klient tarkvaras on vajalik uuendada ID-tarkvara versioonile 3.12. 

Uute sertifikaatidega ID-kaardiga antud DDOC formaadis digitaalallkirjade kontrollimiseks on vajalik uuendada lõppkasutaja arvutis olevat ID-tarkvara versioonile 3.12. Vanemad tarkvara versioonid kuvavad allkirja staatuseks "teadmata".

Windows’i kasutajad saavad uuendada ID-tarkvara aadressilt installer.id.ee. Mac OSX kasutajatel tuleb laadida alla DigiDoc3 klient programmi viimane versioon Apple App Store-st. 

Uute sertifikaatidega ID-kaardiga antud BDOC või ASIC-E formaadis digitaalallkirjade kontrollimiseks alates ID-tarkvara versioonist 3.10, ei pea kasutaja ülemineku pärast muretsema, sest allkirjade kontrollimisel lisandub uue sertifikaadi tugi automaatselt TJA poolt publitseeritavast ametlikust sertifikaatide usaldusnimekirjast. 

Testimiseks saab kasutada eelpool viidatud faile.

Kui mul on küsimusi, kust ma saan lisainfot?

Kõik antud muudatust puudutavad lisaküsimused saatke aadressile support at sk dot ee.

 


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge