Allolev info on oluline ennekõike infosüsteemide omanikele, kes kasutavad SK poolt väljastatud e-Templit (digitemplit), krüpteerimis-või autentimissertifikaati või veebiserveri (SSL) sertifikaate.
Miks muudatused toimuvad?
Tulenevalt uuenenud nõuetest sertifitseerimisteenustele on SK ID Solutions AS (SK) kasutusele võtnud uue KLASS3-SK 2016 vahesertifikaadi (intermediate certificate), mille alt väljastatakse asutustele sertifikaate alates 01.06.2017.
Milline on selle muudatuse mõju?
Muudatus puudutab eelkõige neid infosüsteemide omanikke, kellele väljastatakse sertifikaat peale 01.06.2017, kes peavad selle kasutuse võtmisel seadistama KLASS3-SK 2016 vahesertifikaadi. Ent mõjutatud ka kõik kolmanda osapoolte infosüsteemid või rakendused, kus on võimalik kontrollida digitembeldatud failide kehtivust. Kõik vajalikud seadistused on võimalik infosüsteemides ette ära teha.
Millal hakatakse uutest ahelatest sertifikaate väljastama?
Uuest ahelast väljastatakse asutustele sertifikaate alates 01.06.2017. Peale antud kuupäeva KLASS3-SK 2010 vahesertifikaadi alt sertifikaate enam ei väljastata.
Mis juhtub enne 01.06.2017 väljastatud sertifikaatidega?
Kõik varasemalt väljastatud sertifikaadid kehtivad oma kehtivuse lõpuni, neid välja vahetada ei ole vaja.
Mis juhtub kui uute sertifikaatide tuge ei ole lisatud?
Kui uus KLASS3-SK 2016 vahesertifikaat on serveri või rakenduse konfiguratsiooni lisamata siis ei ole võimalik peale 01.06.2017 väljastatud e-Templit / krüpteerimissertifikaati/ autentimissertifikaati kasutada või teie veebiserver ei ole usaldatud veebilehitsejate poolt. Samuti ei ole võimalik kontrollida digitembeldatud faile.
Kust saab uue vahesertifikaadi?
Uus vahesertifikaat nimega KLASS3-SK 2016 on kättesaadav SK repositooriumist - www.sk.ee/certs
KLASS3-SK 2016 sertifikaat on väljaantud olemasoleva juursertifikaadi (EE Certification Centre Root CA) poolt.
Milline kehtivuskinnituse (OCSP) sertifikaat hakkab kinnitama vastuseid KLASS3-SK 2016 sertifikaatide puhul?
KLASS3-SK 2016 sertifikaatide puhul kinnitab ocsp.sk.ee teenuses vastused SK OCSP RESPONDER 2011. SK OCSP RESPONDER 2011 on juba täna kasutuses kõikide teiste sertifikaatide puhul.
Millised on muudatused uues vahesertifikaadis võrrelsed KLASS3-SK 2010 sertifikaadiga?
- KLASS3-SK 2016 baseerub 4096-bitisel RSA võtmel ja on väljastatud kasutades SHA-384 (sha384WithRSAEncryption) räsialgoritmi.
- Sertifikaadi eraldusnimes (DN) on CommonName (CN) väärtustatud uue nimega KLASS3-SK 2016. Sertifikaadi eraldusnimesse (DN) on lisandunud väli OrganizationIdentifier (OID 2.5.4.97) ja see on väärtustatud NTREE-10747013. Seda nõuab ETSI standardi EN 319412-3 punkt 4.2.1 ja sisu on lahti seletatud standardi EN 319412-1 punktis 5.1.4. NB! OrganizationIdentifier on uus, vähem levinud laiendus ja ei pruugi olla tarkvaradesse sisse kirjutatud või siis tarkvarad tõlgendavad teda erinevalt. Nt. tarkvara ei tunne OrganizationIdentifier laiendust ja kirjutab selle kui tundmatu laienduse nimeks OID.2.5.4.97.
- Sertifikaadi sees on muutunud Policy Qualifier väljade sisu, et paremini vastata standardi RFC 3647 nõuetele. Sellega seoses muutuvad ka sertifitseerimispõhimõtete OID numbrid lühemaks, lõpust kaob ära versiooninumbri tunnus. Viidatakse ka otse ETSI EN 319 411 ja ETSI TS 102 042 standarditele.
Millised on muudatused lõppsertifikaatides?
- Sertifikaadi väljaandja (Issuer) CommonName (CN) on KLASS3-SK 2016.
- Sertifikaadi väljaandja (Issuer) väljale on lisandunud väli OrganizationIdentifier (OID 2.5.4.97), vaata ka selgitust eelmises punktis.
- Sertifikaati AIA laiendus (Authority Information Access extension) OCSP teenuse URL on: http://aia.sk.ee/klass3-2016.
- Sertifikaadi sees on muutunud sertifikaadi poliitikate Policy Qualifier väljade väärtused. Detailsemalt väärtused leiab sertifikaadiprofiili dokumendist, mille uusima versiooni leiab https://www.sk.ee/repositoorium/profiil/ alajaotus Asutuste sertifikaadid.
- Puudub tühistusnimekiri (CRL).
Mida peab tegema infosüsteemides, kus digitembeldatakse dokumente või valideeritakse digitembeldatud dokumente.
Infosüsteemid, mis kasutavad digitembeldamiseks või digitembeldatud failide valideerimiseks DigiDoc teeke peavad kontrollima ja vajadusel lisama teegi poolt kasutatavasse sertifikaatide kataloogi KLASS3-SK 2016 sertifikaadi ja seejärel lisama viite konfiguratsioonifaili. Täiendavad juhised saab vastava teegi dokumentatsioonist, mille viited leiab: https://www.id.ee/?id=36102
Teekides sertifikaatide usaldusnimekirja (TSL-i) kasutajad peavad kasutama uusimat Tehnilise Järelevalve Ameti poolt publitseeritud usaldusnimekirja (https://sr.riik.ee/tsl/estonian-tsl.xml).
Mida peab tegema TempelPlus tarkvara kasutaja?
TempelPlus tarkvara kasutajad peavad lisama jdigidoc teegi poolt kasutatavasse sertifikaatide kataloogi sertifikaadi KLASS3-SK 2016 ja seejärel lisama viite konfiguratsioonifaili. Täiendavad juhised saab jdigidoc teegi dokumentatsioonist: SK-JDD-PRG-GUIDE.pdf
Mida peavad tegema teenused, kus kasutatakse SK poolt väljastatud veebiserveri (SSL) sertifikaate.
Peale 01.06.2017 väljastatud veebiserveri sertifikaadi seadistamisel tuleb konfiguratsiooni lisada ka KLASS3-SK 2016 sertifikaat.
PS. Üks lihtne võimalus oma veebiserveri headuse kontrollimiseks on: https://www.ssllabs.com/ssltest/. Sisestage sinna oma veebilehe aadress, kus on kasutuses SK poolt väljastatud veebiserveri sertifikaat.
Mida peab tegema DigiDocService veebiteenuse kasutaja?
DigiDocService veebiteenusesse lisab SK ise uue sertifikaadid ning seetõttu DigiDocService kasutajad ei pea üldjuhul oma infosüsteemis mingeid muudatusi tegema.
Milline on muudatuse mõju DigiDoc3 klient tarkvara kasutajatele?
Uute sertifikaatidega digitembeldatud BDOC või ASIC-E formaadis failide kontrollimiseks alates ID-tarkvara versioonist 3.10, ei pea kasutaja ülemineku pärast muretsema, sest allkirjade kontrollimisel lisandub uue sertifikaadi tugi automaatselt TJA poolt publitseeritavast ametlikust sertifikaatide usaldusnimekirjast. Oluline on, et usaldusnimekirjade automaatne uuendamine oleks arvutis lubatud.
Uute sertifikaatidega digitembeldatud DDOC formaadi puhul kuvatakse allkirja staatuseks “teadmata”. DDOC formaadis uusi dokumente luua ei ole soovitatav. Tuleks kasutada BDOC või ASiC-E formaati.
Alates 01.07.2017 väljastatud sertifikaatidega e-Templi kasutamiseks DigiDoc3 klient tarkvaras (digitembeldamiseks, krüpteerimiseks) ei pea kasutaja midagi tegema. Oluline on, et kasutaja arvutis on lubatud keskse konfiguratsioonihalduse kaudu ajakohastada tarkvara konfiguratsioonisätteid, mille kaudu levitatakse KLASS3-SK 2016 tugi.
Kuidas testida?
Oleme loonud bdoc ja asic-e failid, mis on digitembeldatud KLASS3-SK 2016 alt väljastatud sertifikaadiga ja kehtivuskinnitus on signeeritud SK OCSP RESPONDER 2011 sertifikaatiga. Nende failidega saate testida, kas teie süsteemides, teekides ja dokumendihaldussüsteemides on kõik vajalikud sertifikaadid korrektselt seadistatud.
Kvalifitseeritud e-Tempel
Kvalifitseeritud e-Tempel, mis ei asu kvalifitseeritud e-allkirja andmise vahendil (QSCD-l)
Kui mul on küsimusi, kust ma saan lisainfot?
Kõik antud muudatust puudutavad lisaküsimused saatke aadressile [email protected].
