26. august kl 17:23 aegub Juur-SK sertifikaat

Seoses Sertifitseerimiskeskuse tipmise sertifikaadi Juur-SK aegumisega 26. augustil 2016 kl 17:23 on oluline kontrollida, kas teie rakendused ja infosüsteem on korrektselt seadistatud ja teha vajalikud muudatused õigeaegselt.

Allolev info on oluline ennekõike teenusepakkujatele ja infosüsteemide omanikele ning neile, kes kasutavad SK poolt väljastatud veebiserveri (SSL) sertifikaate. 

Lõppkasutajatel on oluline uusima ID-tarkvara (versioon 3.12 või uuem) kasutamine. Kõige uuema versiooni ID-tarkvarast saab alla laadida veebilehelt id.ee.

Mis sertifikaadid täpsemalt aeguvad?

26. augustil 2016 kl 17:23 aegub SK tipmine sertifikaat "Juur-SK" ja sellega koos ka kõik sellest ahelast välja antud alamsertifitseerijad ESTEID-SK 2007, EID-SK 2007, KLASS3-SK 2010 (väljastatud 31.03.2010) ja kõik nende poolt väljaantud sertifikaadid (sh teenussertifikaadid (nt OCSP sertifikaadid, DigiDocService teenussertifikaat)). SK sertifitseerimise ahelad on visualiseeritud kujul leitavad siit.

Juur-SK ahelast väljastati ID-kaardi ja Mobiil-ID sertifikaate kuni 11. juuli 2011, seega viimased aeguvad 11.juulil 2016. 

Milline on oluline erisus seoses KLASS3-SK 2010 alamsertifitseerija puhul?

KLASS3-SK 2010 on oluline erisus, et samanimeline sertifikaat on välja antud ka uue SK tipmise sertifitseerija EE Certification Centre Root CA alt 18.03.2011 ja 04.06.2015. Oluline on kontrollida, et teie konfiguratsioonis oleks olemas kõige uuem KLASS3-SK 2010 sertifikaat ja uus tipmine sertifikaat. Sel juhul vana KLASS3-SK 2010 aegumine teid ei mõjuta.

Kust saab uue sertifitseerimisahela sertifikaadid?

Sertifikaadid on kättesaadavad SK repositooriumist - www.sk.ee/certs. Lisame viited ka siia:

Milline on Juur-SK  ja selle alt väljastatud sertifikaatide aegumise mõju rakendustele ja infosüsteemidele?

Teenused, kus kasutatakse ID-kaardi kasutajate autentimiseks tühistusnimekirja (CRL).

ESTEID-SK 2007 tühistusnimekirja (CRL-i) peale Juur-SK sertifikaadi aegumist 26.08.2016 enam välja ei anta. Aegunud CRL eemaldatakse ja ei ole enam kättesaadav. Sarnaselt aeguvad ja eemaldatakse ka EID-SK 2007 ja JUUR-SK tühistusnimekirjad. KLASS3-SK 2010 tühistusnimekirja osas muudatusi ei ole, see jääb endiselt kättesaadavaks.

Teenusserverid tuleks seadistada selliselt, et peale viimast aegumist tühistusnimekirja enam allalaadida ei üritata, vastasel juhul koormab see liigselt teie ja meie servereid.  

Teenused, kus kasutatakse DigiDocService veebiteenust.

DigiDocService (https://digidocservice.sk.ee) teenuse veebiserveri (SSL) sertifikaat (CN=digidocservice.sk.ee) on väljaantud KLASS3-SK 2010 alamsertifitseerija alt ja aegub 26.08.2016. DigiDocService veebiteenuses võetakse alates 15. augustist kell 23:00 kasutusele uus SSL sertifikaat. Uus teenussertifikaat on välja antud senisest erineva sertifitseerija alt.

Kui teie rakenduses verifitseeritakse DigiDocService teenussertifikaati vastu sertifikaadi väljaandja ahelat, on vajalik üle kontrollida ahela sertifikaadid. Oluline, et oleks seadistustes KLASS3-SK 2010 (väljastatud 04.06.2015) ja uus tipmine sertifitseerija EE Certification Centre Root CA sertifikaat.

Selleks, et DigiDocService teenuse SSL sertifikaadi aegumine ja vahetus augustis teie teenuseid ei mõjutaks, tuleks uue ahela sertifikaadidkonfguratsiooni lisada esimesel võimalusel. Uus konfiguratsioon töötab ka praeguse SSL sertifikaadiga ja seetõttu saate muudatuse juba praegu ära teha. Test DigiDocService teenuses (https://tsp.demo.sk.ee) on uue KLASS3-SK 2010 alt väljastatud SSL sertifikaat kasutusel juba täna.

Kui teie rakendustest verifitseeritakse SSL sertifikaati ennast, on vajalik uue DigiDocService sertifikaadi lisamine.  

Uus DigiDocService teenuse SSL sertifikaat PEM formaadis on kättesaadav siit.

Teenused, kus kasutatakse SK poolt väljastatud veebiserveri (SSL) sertifikaate. 

Oluline on kontrollida, et teie konfiguratsioonis oleks olemas kõige uuem KLASS3-SK 2010 sertifikaat ja uus tipmine sertifikaat EE Certification Centre Root CA ning vajadusel siis lisage need esimesel võimalusel. Sel juhul vana KLASS3-SK 2010 ja Juur-SK aegumine augustis teid ei mõjuta. 

Kõikide avalike veebiserverite puhul, kus on SK poolt väljastatud veebiserveri sertifikaat teostame ise vastavad kontrollid ja anname teenuse omanikele teada, kui on vaja teostada muudatusi.

Üks lihtne võimalus oma veebiserveri headuse kontrollimiseks on: https://www.ssllabs.com/ssltest/. Sisestage sinna oma veebilehe aadress, kus on kasutuses SK poolt väljastatud veebiserveri sertifikaat. Kui tulemuste "Additional Certificates” ja “Certification Path" blokkides on KLASS3-SK 2010 sertifikaat, mis aegub 2016. aastal ja mille väljaandja (Issuer) on Juur-SK, siis tuleb serveri konfiguratsioon üle vaadata. 

SSL serveri sertifikaatide häälestuse juhendid serveritel leiate siit:

  • Windows 2012 (IIS8), PDF
  • Apache, PDF

Teenused ja infosüsteemid, kus digitembeldatakse dokumente või valideeritakse digitembeldatud dokumente.

Infosüsteemid, mis kasutavad digitembeldamiseks või digitembeldatud failide valideerimiseks DigiDoc teeke peavad kontrollima ja vajadusel lisama teegi poolt kasutatavasse sertifikaatide kataloogi järgmised sertifikaadid ja seejärel lisama viite konfiguratsioonifaili:

  • KLASS3-SK 2010 (väljastatud 04.06.2015) 
  • KLASS3-SK 2010 (väljastatud 18.03.2011) 

Oluline on ka SK OCSP RESPONDER 2011 sertifikaadi olemasolu.

Teekides sertifikaatide usaldusnimekirja (TSL-i) kasutajad peavad kasutama uusimat Tehnilise Järelevalve Ameti poolt publitseeritud usaldusnimekirja (https://sr.riik.ee/tsl/estonian-tsl.xml).

Testimiseks oleme loonud .ddoc, .bdoc, asic-e failid, mis on allkirjastatud KLASS3-SK 2010 (väljastatud 04.06.2015) alt väljastatud sertifikaadiga ja kehtivuskinnitus on signeeritud SK OCSP RESPONDER 2011 sertifikaadiga. Nende failidega saate testida, kas teie digiallkirjastamise süsteemides, teekides ja dokumendihaldussüsteemides on kõik vajalikud sertifikaadid korrektselt seadistatud. Kui neid faile suudetakse valideerida kehtivaks, siis on konfiguratsioon korrektne.

Teenused, kus kasutatakse digitembeldamise tarkvara TempelPlus.

TempelPlus tarkvara kasutajad peavad kontrollima ja vajadusel lisama jdigidoc teegi poolt kasutatavasse sertifikaatide kataloogi järgmised sertifikaadid ja seejärel lisama viite konfiguratsioonifaili:

  • KLASS3-SK 2010 (väljastatud 04.06.2015)
  • KLASS3-SK 2010 (väljastatud 18.03.2011) 

Oluline on ka SK OCSP RESPONDER 2011 sertifikaadi olemasolu.

Testimiseks oleme loonud .ddoc, .bdoc failid, mis on allkirjastatud KLASS3-SK 2010 (väljastatud 04.06.2015) alt väljastatud sertifikaadiga ja kehtivuskinnitus on signeeritud SK OCSP RESPONDER 2011 sertifikaadiga. Nende failidega saate testida, kas TempelPlus tarkvaras on vajalikud sertifikaadid seadistatud. Kui neid faile suudetakse valideerida kehtivaks, siis on konfiguratsioon korrektne.

Teenused, kus kasutatakse Kasutajapõhist autentimisteenust.

Autentimissertifikaatide infot väljastava kehtivuskinnituse teenuse vastuseid kinnitav OCSP sertifikaat (CN=AUTHENTICATION OCSP RESPONDER) aegub 26.08.2016. Aeguva sertifikaadi asemele väljastatakse uus OCSP sertifikaat ning see võetakse teenuses kasutusele 15. augustil kell 14:00.

Lae alla uus Autentimisteenuse OCSP responderi sertifikaat aadressilt http://www.sk.ee/certs, vali lehel sertifikaat AUTHENTICATION OCSP RESPONDER 2016.

Lisa allalaetud sertifikaat domeeni Trusted Root Certification Authorities teeki (vt. http://id.ee/public/ID-login_juhend.pdf peatükki Sertifikaatide publitseerimine).

Milline kehtivuskinnituse (OCSP) sertifikaat hakkab kinnitama vastuseid KLASS3-SK 2010 sertifikaatide puhul?

Täna kasutuses olev KLASS3-SK 2010 OCSP RESPONDER aegub ning selle asemel võetakse 15. augustil 2016 kell 14:00 kasutusele SK OCSP RESPONDER 2011.

SK OCSP RESPONDER 2011 on juba täna kasutuses kõikide teiste uue sertifitseerimisahela sertifikaatide puhul. Peale 15. augustist on kõikide SK sertifikaatide puhul kasutuses ühine kehtivuskinnitusteenuse (OCSP) sertifikaat ocsp.sk.ee teenuses.

Kui mul on küsimusi, kust ma saan lisainfot?

Kõik antud muudatust puudutavad lisaküsimused saatke palun aadressile support at sk dot ee


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge