cs:tcs-novy-dodavatel.html

Nový dodavatel certifikátů TCS

Jelikož současný kontrakt s dodavatelem služby TCS končí 30. 4. 2020, vypsalo sdružení GÉANT v roce 2019 nový tendr na pokračujícího poskytovatele. Vítězem soutěže se stala společnost Sectigo. Na této stránce budeme postupně aktualizovat informace, které se budou týkat nové podoby služby TCS.

Známé informace (aktualizováno 21. 1. 2020)

  • Sectigo je nové jméno autority Comodo CA, kterou známe z první verze služby TCS - certifikáty nám dodávala v letech 2009 - 2015.
  • V rámci služby budou zachovány osobní certifikáty s platností 13 měsíců, serverové bude možné vydávat ve verzi s doménovým ověřením (DV) a ověřením organizace (OV).
  • Současné registrace organizací u sdružení CESNET zůstanou platné, nebude potřeba nové vyplnění formuláře, pokud nebudete potřebovat jmenovat jiné správce.
  • Ověření organizace bude prováděno objednáním hovoru s automatem, ve kterém správce získá kód, kterým dokončí validaci v elektronickém formuláři. Hovor půjde objednat pravděpodobně pouze na číslo uvedené v seznamu Dun & Bradstreet.
  • EV certifikáty budou mít složitější ověření (pravděpodobně bude nutné pro každý vyplňovat papírovou žádost), doporučujeme přestat je používat - oproti OV již nemají pro běžné aplikace výrazně vyšší hodnotu.
  • ASCII názvy organizací v předmětu nebudou nadále podporovány, anglické názvy bude možné použít pouze pro gridové (eScience) certifikáty.
  • Uživatelské i správcovské rozhraní se pokusíme zachovat v maximální možné míře ve stávající podobě.
  • Současné API pro automatizované vydávání certifikátů bude nadále funkční.
  • Aplikační a dokumentové certifikáty prozatím nebude možné vydávat, o podobě robotových certifikátů zatím nic nevíme.
  • Tvar předmětů certifikátů zůstane pravděpodobně zachován.
  • Řetěz CA se změní, bude jiný kořen i mezilehlá autorita (zatím nemáme k dispozici, bude zveřejněná na těchto stránkách).
  • Serverové certifikáty budou mít platnost jeden nebo dva roky.
  • Platné certifikáty od Digicertu (tj. vydané do 30. 4. 2020) nebudou revokovány.
  • Na konci února bude dočasně provedena změna nastavení automatu upozorňujícího na blížící se expiraci certifikátů. Upozornění budou chodit pro všechny certifikáty, které budou expirovat do 30. 6. 2020. Opakování upozornění pro konkrétní certifikát bude možné zrušit.

Doporučení pro správce a uživatele

  • Nechte si nejpozději během dubna znovu vydat certifikáty, jejichž platnost končí v první polovině roku 2020. Na začátku května 2020 může dojít k předem nepredikovatelnému několikadennímu výpadku služby.
  • Nezapomeňte si s nově vydanými serverovými certifikáty také změnit řetěz CA (zatím není zveřejněný).
  • Pokud používáte DNS CAA, přidejte mezi povolená CA také sectigo.com.
  • Pokud spravujete službu, která je ověřovaná certifikátem TCS (ať už serverovým, nebo osobním), nezapomeňte přidat do důvěryhodných autorit také novou CA (až bude zveřejněná).
  • Jste-li správci eduroamu a máte-li na radius serverech nasazeny certifikáty TCS, nezapomeňte si včas vydat certifikáty od Digicertu, abyste měli na změnu těchto certifikátů další dva roky čas.
  • Sledujte pravidelně tuto stránku, bude průběžně aktualizovaná.
Poslední úprava:: 2020/01/22 11:54