Služba TCS v novém kabátu

Poslední aktualizace stránky byla provedena 15. 5. 2025 v 20.40.

Náš portál tcs.cesnet.cz je již zkušebně spuštěn, ale má řadu omezení, která aktualizujeme na hlavní stránce.

Službu TCS nám poskytuje sdružení GÉANT, CESNET ji pouze zprostředkovává. Externí dodavatel TCS certifikátů, společnost Sectigo, oznámil, že současnou smlouvu ukončí k 10. lednu 2025, přestože je řádně uhrazena až do konce dubna. Náhradu zajistil GÉANT podpisem smlouvy s řeckou akademickou CA HARICA.

D: Měl(a) jsem si obnovit certifikát, i když jsem si jej vydal(a) nedávno?
O: Pokud je certifikát platný až do druhého pololetí 2025 (nebo u osobních certifikátů i déle), není to nutné. Certifikáty expirující v první polovině roku 2025 jsme důrazně doporučovali obnovit. Nyní je možné omezené vydání u nového vydavatele, ovšem zatím bez záruky úspěchu.

D: Jaká bude délka platnosti certifikátů u nového dodavatele?
O: Na zkracování zatím nedošlo, zkracovat se tedy nejspíš bude až v září letošního roku.

D: Budou se měnit u nové služby kořenová a mezilehlé autority?
O: Ano, v řetězu CA je u nového dodavatele změna. Více viz Kořenové certifikáty a revokační seznamy

D: Vámi uvedený Řetěz CA má v sobě kořenový certifikát, to dříve nemuselo být, je to správně? O: Ano, to je správně. Certifikát HARICA TLS RSA Root CA 2021 existuje ve dvou verzích: podepsaný sám sebou, tedy jako kořenový a podepsaný kořenovým certifikátem Hellenic Academic and Research Institutions RootCA 2015. Jedná se o běžnou praxi, kdy je např. potřeba přejít na jiný kořenový certifikát dříve, než se ten nový objeví ve všech prohlížečích a distribucích OS. Ve starších systémech je tedy možné použít pouze jeden mezilehlý CA certifikát GEANT TLS RSA 1, ve starších je nutné mít oba mezilehlé, tedy k němu i křížově podepsanou verzi kořene HARICA TLS RSA Root CA 2021.

D: Jsem správce/správkyně DNS, mám teď něco dělat s CAA záznamy povolujícími pouze Sectigo?
O: Ano, je dobré si nyní udělat revizi CAA záznamů a povolit novou autoritu harica.gr; zároveň lze nově omezit vydání osobních certifikátů pomocí DNS záznamu CAA 0 issuemail harica.gr.

D: Jsem správce/správkyně DNS, mám stávající CAA záznamy povolujícími Sectigo smazat i když budu certifikáty od Sectiga ještě používat?
O: Ano, CAA záznamy mají vliv pouze na vydávání certifikátů, nikoliv na jejich provoz. Staré záznamy povolující Sectigo (či dokonce předchozí Digicert) je tedy možné smazat.

D: Serverové certifikáty měly být automatizovány, jak to s ACME bude?
O: Nový dodavatel zatím nemá ACME implementované. Nejdříve bude dostupné až na konci května, nelze se na to ale spoléhat. Od okamžiku, kdy bude HARICA ACME nabízet, je CESNET schopen implementovat podporu na své straně nejdříve za měsíc.

D: Jak to bude se současnou automatizací, bude zachována?
O: Bohužel, současné API bude rovnou nahrazeno ACME (až bude k dispozici).

D: Používám tzv. hvězdičkový certifikát, bude podporován i novou službou?
O: Hvězdičkové certifikáty nejsou z bezpečnostních důvodů doporučovány. Nahraďte je certifikáty s konkrétním výčtem DNS jmen, nebo nahraďte technické řešení, které takový certifikát vyžaduje, jiným.

D: Používám tzv. Split-DNS, kdy některá DNS jména nejsou veřejná. Bude je nová služba podporovat?
O: U Sectiga šlo takové řešení zachovat. U nového dodavatele je to zatím také možné. Jak tomu bude v budoucnu ale zatím netušíme. Doporučujeme taková DNS jména zveřejnit a pokud mají privátní adresy, přesunout dané servery na adresy veřejné. Pokud vám nezbývají IPv4 adresy, použijte IPv6. NAT i Split-DNS jsou přežitkem a v současnosti už nepřidávají žádné zabezpečení navíc.

D: Nenašel/nenašla jsem zde odpověď na svou otázku. Kde se mohu zeptat?
O: Prosím pokládejte další dotazy své uživatelské podpoře. Pokud nebude znát odpověď, nebo jste onou podporou přímo vy, ptejte se přes naše pracoviště stálé služby na adrese support@cesnet.cz.