Ukončení současné služby TCS
Současná situace
Službu TCS nám poskytuje sdružení GÉANT, CESNET ji pouze zprostředkovává. Externí dodavatel TCS certifikátů, společnost Sectigo, oznámil, že současnou smlouvu ukončí k 10. lednu 2025, přestože je řádně uhrazena až do konce dubna. Od uvedeného data (a možná i dříve) proto zřejmě nebude možné žádat o žádné certifikáty. Zároveň pravděpodobně nastane situace, kdy náhrada služby nebude na nějakou dobu dostupná, protože na vypsání nového výběrového řízení zbývá jen velmi málo času.
Co to znamená
Je možné, že Sectigo začne dělat s dodáváním certifikátů potíže, proto je opravdu důležité, aby si všichni uživatelé teď hned, dokud to jde, nechali znovu vydat svoje serverové, osobní i robotové certifikáty, pokud jste si je nevydali v nedávné době. Díky tomu překlenou období, kdy nebude služba TCS poskytována. Délku tohoto úseku momentálně neznáme a nedokážeme ji ovlivnit. Protože se jedná o naléhavou a nestandardní situaci, informovali jsme uživatele platných certifikátů e-mailovou zprávou.
Co bude následovat
GÉANT usilovně hledá za Sectigo náhradu, nějaké možnosti již ověřuje. Jakmile o nich dostaneme informace uveřejníme je na této stránce a budeme informovat správce TCS ve vaší organizaci.
Časté Dotazy a Odpovědi
D: Mám si obnovit certifikát, i když jsem si jej vydal(a) nedávno?
O: Pokud je certifikát platný až do druhého pololetí 2025 (nebo u osobních certifikátů i déle), není to nutné. Certifikáty expirující v první polovině roku 2025 obnovit důrazně doporučujeme.
D: Mám si certifikáty obnovit hned, není lepší počkat zda náhrada služby nebude dříve, než můj certifikát expiruje?
O: Určitě není dobré s žádostí o nový certifikát otálet. Sectigo může mít s vyšší poptávkou technické problémy a nebo může certifikáty přestat vydávat i dříve, než 10. 1. 2025. Kdy bude náhrada není vůbec jisté.
D: Jaká bude délka platnosti certifikátů u nového dodavatele?
O: Na tuto otázku v tuto chvíli nedokážeme odpovědět. Stále mohou být certifikáty vydávány až na rok, ale doba platnosti může být i rovnou zkrácená.
D: Budou se měnit u nové služby kořenová a mezilehlé autority?
O: Ano, v řetězu CA dojde u nového dodavatele ke změně.
D: Jsem správce/správkyně DNS, mám teď něco dělat s CAA záznamy povolujícími pouze Sectigo?
O: Ano, je dobré si nyní udělat revizi CAA záznamů a nastavit případně u nich TTL tak, aby bylo možné přejít na novou autoritu bez nutnosti čekání na jejich expiraci.
D: Serverové certifikáty měly být automatizovány, jak to s ACME bude?
O: Jelikož současná služba bude nahrazena jinou, kde bude implementace procesů pravděpodobně odlišná, nevyplatí se nyní z technických důvodů ACME nasazovat. Bude dostupné až s novou službou jiného dodavatele.
D: Jak to bude se současnou automatizací, bude zachována?
O: Bohužel, současné API bude rovnou nahrazeno ACME.
D: Používám tzv. hvězdičkový certifikát, bude podporován i novou službou?
O: Hvězdičkové certifikáty nejsou z bezpečnostních důvodů doporučovány. Nahraďte je certifikáty s konkrétním výčtem DNS jmen, nebo nahraďte technické řešení, které takový certifikát vyžaduje, jiným.
D: Používám tzv. Split-DNS, kdy některá DNS jména nejsou veřejná. Bude je nová služba podporovat?
O: U Sectiga šlo takové řešení zachovat. Jak tomu bude u nové služby zatím netušíme. Doporučujeme taková DNS jména zveřejnit a pokud mají privátní adresy, přesunout dané servery na adresy veřejné. Pokud vám nezbývají IPv4 adresy, použijte IPv6. NAT i Split-DNS jsou přežitkem a v současnosti už nepřidávají žádné zabezpečení navíc.
D: Nenašel/nenašla jsem zde odpověď na svou otázku. Kde se mohu zeptat?
O: Prosím pokládejte další dotazy své uživatelské podpoře. Pokud nebude znát odpověď, nebo jste onou podporou přímo vy, ptejte se přes naše pracoviště stálé služby na adrese support@cesnet.cz.