Olulised muudatused SK kehtivuskinnitusteenuses 01.11.2023

02.11.2023

Alates 1. novembrist 2023 vahetub SK tasulise kehtivuskinnituseteenuse (OCSP) sertifikaat. Kasutusele võetakse 35 päevase kehtivusega sertifikaadid. Lisaks ei ole muudetud OCSP teenusega enam võimalik luua BDOC-TM vormingus digiallkirja.

Kui siiani oli aadressile http://ocsp.sk.ee/ esitatud päringutel kõigi CA alamteenuste osas kasutusel sama kehtivuskinnitusteenuse sertifikaat SK OCSP RESPONDER 2011, mis on väljastatud tipmise sertifitseerija (EECCRCA) alt, siis alates 2023. aasta 1. novembrist minnakse üle iga kesktaseme CA sertifitseerija alt väljastatud sertifikaatidele.

Uued kehtivuskinnituse sertifikaadid on lühema kehtivusajaga - sertifikaat kehtib 35 päeva ning vahetub iga 30 päeva järel. Iga OCSP sertifikaadi väljastab vastav kesktaseme sertifitseerija. Samu sertifikaate kasutatakse ka vaba ligipääsuga OCSP teenuses (aia.sk.ee). Teenuse sertifikaadi vahetusest SK edaspidi ei teavita.

Muudetud teenust ei ole võimlik kasutada BDOC-TM allkirjade moodustamiseks. Alates 1. novembrist 2023 loodud BDOC-TM vormingus digiallkirjad enam ei valideeru. Varasemalt loodud BDOC-TM allkirju on võimalik valideerida. 

Muudatuse eesmärk on tagada tasulise kehtivuskinnitusteenuse jätkusuutlikkus ning senisest veelgi parem vastavus rahvusvahelistele standarditele. Kehtivuskinnitusteenuse kasutamise üldtingimused ei muutu.

  • Kes on mõjutatud?

    Vaata Peida

    Muudatused mõjutavad kõiki teenused, mis Smart-ID, Mobiil-ID, Eesti ID-kaardi ja asutuse sertifikaatide kehtivuse kontrolliks kasutavad SK kehtivuskinnitusteenust aadressil ocsp.sk.ee ja teenuseid, kes endiselt kasutavad digiallkirjastamiseks BDOC-TM allkirja vormingut. BDOC-TM vormingus allkirjade loomise tugi lõpetatakse, sest see on Eesti-spetsiifiline digiallkirja vorming, mille kasutamine ei ole ka toetatud RIA (Riigi Infosüsteemi Amet) poolt sel aastal avaldatavates järgmistes digidoc teegi versioonides. RIA poolt avaldatud info teekide toe kohta on leitav siit.

    Muudatused ei puuduta kliente, kes kasutavad vaba ligipääsuga OCSP teenust, mis on kättesaadav aadressil aia.sk.ee.

    Peida
  • Mida peab muutma?

    Vaata Peida

    Teenusepakkujad, kes on loonud sõltuvusi SK OCSP RESPONDER 2011 sertifikaadiga, peavad aegsasti üle kontrollima oma infosüsteemi toimeloogika ning vajadusel tegema muudatused. Alates 1. novembrist 2023 peab infosüsteem usaldama OCSP sertifikaate, mis on välja antud vastava kesktaseme CA poolt. Need teenused ja infosüsteemid, mis senini on loonud BDOC-TM vormingus digiallkirja, peavad üle minema AdES LT digiallkirja vormingule.

    Näide: kui peale muudatust esitada kehtivusinfo päring teenusele ocsp.sk.ee Mobiil-ID sertifikaadi kohta, mis on väljastatud EID-SK 2016 sertifitseerimisahelast, tagastab teenus vastuse, mis on allkirjastatud EID-SK 2016 poolt väljastatud OCSP sertifikaadiga (EID-SK 2016 AIA OCSP RESPONDER). Kui aga esitada kehtivusinfo päring ESTEID2018 poolt väljastatud ID-kaardi sertifikaadi kohta, tagastatakse allkirjastatud vastus vastavalt ESTEID2018 poolt väljastatud OCSP sertifikaadiga (ESTEID-SK 2018 AIA OCSP RESPONDER).

    Peida
  • Testimine

    Vaata Peida

    Selleks, et muudatus oleks sujuvam, kasutage meie testkeskkonda, et kontrollida kuidas teie teenused sobivad muudetud kehtivuskinnitusteenuse loogikaga. Oleme testimiseks uuendanud avalikus testkeskkonnas olevat kehtivuskinnituse teenust demo.sk.ee/ocsp. Lisainfot seoses testimisega leiate Githubist.

    Kui soovite lisainfot või kui teil tekkis küsimusi, siis palun võtke ühendust aadressil [email protected].

    Allikas: SK ID Solutions

    Peida