====== Nový dodavatel certifikátů TCS ====== Jelikož současný kontrakt s dodavatelem služby TCS končí 30. 4. 2020, vypsalo sdružení GÉANT v roce 2019 nový tendr na pokračujícího poskytovatele. Vítězem soutěže se stala společnost [[https://sectigo.com/|Sectigo]]. Na této stránce budeme postupně aktualizovat informace, které se budou týkat nové podoby služby TCS. ==== Známé informace (aktualizováno 22. 6. 2020) ==== * Zpřístupnění portálu plánujeme do 25. 6. 2020. * [[https://sectigo.com/|Sectigo]] je nové jméno autority Comodo CA, kterou známe z první verze služby TCS - certifikáty nám dodávala v letech 2009 - 2015. * V rámci služby budou zachovány osobní certifikáty s platností 13 měsíců, serverové bude možné vydávat ve verzi s doménovým ověřením (DV) a ověřením organizace (OV). * Současné registrace organizací u sdružení CESNET zůstanou platné, nebude potřeba nové vyplnění formuláře, pokud nebudete potřebovat jmenovat jiné správce. * Ověření organizace bude prováděno objednáním hovoru s automatem, ve kterém správce získá kód, kterým dokončí validaci v elektronickém formuláři. Hovor půjde objednat pravděpodobně pouze na číslo uvedené v seznamu [[https://dnb.com/|Dun & Bradstreet]]. * EV certifikáty budou mít složitější ověření (pravděpodobně bude nutné pro každý vyplňovat papírovou žádost), doporučujeme přestat je používat - oproti OV již nemají pro běžné aplikace výrazně vyšší hodnotu. * ASCII názvy organizací v předmětu nebudou nadále podporovány, anglické názvy bude možné použít pouze pro gridové (eScience) certifikáty. * Uživatelské i správcovské rozhraní se pokusíme zachovat v maximální možné míře ve stávající podobě. * Současné API pro automatizované vydávání certifikátů bude nadále funkční. * Aplikační, dokumentové i robotové certifikáty bude možné vydávat. * Tvar předmětů certifikátů zůstane pravděpodobně zachován. * Řetěz CA se změnil * [[https://pki.cesnet.cz/cs/ch-tcs-p-sectigo-crt-crl.html|běžné osobní certifikáty]] * [[https://pki.cesnet.cz/cs/ch-tcs-p-escience-sectigo-crt-crl.html|gridové osobní certifikáty]] * [[https://pki.cesnet.cz/cs/ch-tcs-ssl-ca-4-crt-crl.html|serverové certifikáty s běžným ověřením]] * [[https://pki.cesnet.cz/cs/ch-tcs-ev-ssl-ca-4-crt-crl.html|serverové certifikáty s rozšířeným ověřením (EV)]] * [[https://pki.cesnet.cz/cs/ch-tcs-esci-ssl-ca-4-crt-crl.html|serverové eScience (gridové) certifikáty]] * Serverové certifikáty budou mít platnost jeden nebo dva roky. * Platné certifikáty od Digicertu (tj. vydané do 30. 4. 2020) nebudou revokovány. * V osobních certifikátech bude možné mít pouze emailové adresy z domén, které mají ověření pro danou organizaci. * Standardně budou nabízeny negridové certifikáty. O přístup ke gridovým bude muset organizace požádat. ==== Doporučení pro správce a uživatele ==== * Nezapomeňte si s nově vydanými serverovými certifikáty také změnit řetěz CA. * Pokud používáte DNS CAA, přidejte mezi povolená CA také sectigo.com. * Pokud spravujete službu, která je ověřovaná certifikátem TCS (ať už serverovým, nebo osobním), nezapomeňte přidat do důvěryhodných autorit také novou CA (až bude zveřejněná). * Jste-li správci eduroamu a máte-li na radius serverech nasazeny certifikáty TCS, nezapomeňte si včas vydat certifikáty od Digicertu, abyste měli na změnu těchto certifikátů další dva roky čas. * Sledujte pravidelně tuto stránku, bude průběžně aktualizovaná.