Nový dodavatel certifikátů TCS

Jelikož současný kontrakt s dodavatelem služby TCS končí 30. 4. 2020, vypsalo sdružení GÉANT v roce 2019 nový tendr na pokračujícího poskytovatele. Vítězem soutěže se stala společnost Sectigo. Na této stránce budeme postupně aktualizovat informace, které se budou týkat nové podoby služby TCS.

• Zpřístupnění portálu plánujeme do 25. 6. 2020.
• Sectigo je nové jméno autority Comodo CA, kterou známe z první verze služby TCS - certifikáty nám dodávala v letech 2009 - 2015.
• V rámci služby budou zachovány osobní certifikáty s platností 13 měsíců, serverové bude možné vydávat ve verzi s doménovým ověřením (DV) a ověřením organizace (OV).
• Současné registrace organizací u sdružení CESNET zůstanou platné, nebude potřeba nové vyplnění formuláře, pokud nebudete potřebovat jmenovat jiné správce.
• Ověření organizace bude prováděno objednáním hovoru s automatem, ve kterém správce získá kód, kterým dokončí validaci v elektronickém formuláři. Hovor půjde objednat pravděpodobně pouze na číslo uvedené v seznamu Dun & Bradstreet.
• EV certifikáty budou mít složitější ověření (pravděpodobně bude nutné pro každý vyplňovat papírovou žádost), doporučujeme přestat je používat - oproti OV již nemají pro běžné aplikace výrazně vyšší hodnotu.
• ASCII názvy organizací v předmětu nebudou nadále podporovány, anglické názvy bude možné použít pouze pro gridové (eScience) certifikáty.
• Uživatelské i správcovské rozhraní se pokusíme zachovat v maximální možné míře ve stávající podobě.
• Současné API pro automatizované vydávání certifikátů bude nadále funkční.
• Aplikační, dokumentové i robotové certifikáty bude možné vydávat.
• Tvar předmětů certifikátů zůstane pravděpodobně zachován.
• Řetěz CA se změnil
  • běžné osobní certifikáty
  • gridové osobní certifikáty
  • serverové certifikáty s běžným ověřením
  • serverové certifikáty s rozšířeným ověřením (EV)
  • serverové eScience (gridové) certifikáty
• Serverové certifikáty budou mít platnost jeden nebo dva roky.
• Platné certifikáty od Digicertu (tj. vydané do 30. 4. 2020) nebudou revokovány.
• V osobních certifikátech bude možné mít pouze emailové adresy z domén, které mají ověření pro danou organizaci.
• Standardně budou nabízeny negridové certifikáty. O přístup ke gridovým bude muset organizace požádat.

• Nezapomeňte si s nově vydanými serverovými certifikáty také změnit řetěz CA.
• Pokud používáte DNS CAA, přidejte mezi povolená CA také sectigo.com.
• Pokud spravujete službu, která je ověřovaná certifikátem TCS (ať už serverovým, nebo osobním), nezapomeňte přidat do důvěryhodných autorit také novou CA (až bude zveřejněná).
• Jste-li správci eduroamu a máte-li na radius serverech nasazeny certifikáty TCS, nezapomeňte si včas vydat certifikáty od Digicertu, abyste měli na změnu těchto certifikátů další dva roky čas.
• Sledujte pravidelně tuto stránku, bude průběžně aktualizovaná.