You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 53 Next »

10 augustus 2023

Beste gebruiker van SURFcertificaten,

Hieronder een update over ontwikkelingen rondom de dienst, waaronder één met een hoge urgentie, over het gebruik van persoonscertificaten voor authenticatie.

Nieuwe richtlijnen en private trust hierarchy voor persoonscertificaten

Als gevolg van nieuwe standaarden bepaald door het CA/Browser Forum zullen we eind deze maand (28 augustus) nieuwe authenticatiecertificaten introduceren. Voor 'normale' persoonscertificaten (ook bekend als S/MIME certificaten) voor bijvoorbeeld email-ondertekening en encryptie verandert er weinig. Sectigo zal voor sommige organisaties wat extra organisatievalidatiestappen moeten uitvoeren, daar krijg je dan vanzelf bericht over. Wat wel belangrijk is om te weten is dat de common name van dit certificaat niet langer als uniek kan worden beschouwd en dus ongeschikt is voor authenticatiedoeleinden.

Aan de IGTF authenticatiecertificaten (voorheen (GÉANT) IGTF-MICS (Robot) Personal/Email) verandert meer. Dit zijn vanaf de wijzigingen de enige certificaten die geschikt zijn voor authenticatie, en worden dan uitgegeven vanuit een private trust hierarchy. Elk systeem wat dit type certificaten gebruikt voor authenticatie moet een nieuwe trust anchor toevoegen. Om systeembeheerders hier extra tijd voor te geven hebben we alle gebruikers waarvan het authenticatiecertificaat binnen 99 dagen verloopt gevraagd om deze nu te vernieuwen, zodat de meeste systemen over enkele weken pas met de nieuwe certificaten te maken krijgen.

Beheerders van systemen die certificaten voor authenticatie gebruiken kunnen de documentatie vinden op https://wiki.geant.org/display/TCSNT/TCS+Trust+Anchors+and+Intermediates. We zijn te bereiken op certificaten-beheer@surf.nl bij vragen. De nieuwe certificaten zijn als volgt:

NEW PUBLIC TRUST
------
GEANT Personal email signing and encryption (ook in de /clientgeant portal)
GEANT Organisation email signing            (NIET in de /clientgeant portal)

NEW PRIVATE TRUST
-----------------
GEANT Personal Authentication               (ook in /clientgeant)
GEANT Personal Automated Authentication     (ook in /clientgeant)
GEANT Organisation Automated Authentication (NIET in /clientgeant)

Delegatie van enrollment forms

Een oplettende gebruiker (dankjewel!) wees ons er op dat veel organisaties hun self-enrolment forms (https://cert-manager.com/customer/surfnet?private#enrollment_forms) niet aan de eigen organisatie hadden gedelegeerd, waardoor de formulieren voor andere organisaties te zien en aan te passen waren. Wij hebben dit nu voor iedereen aangepast, maar let er dus op dat dit nog apart dient te gebeuren na het aanmaken. We werken op dit moment aan nieuwe documentatie voor enrollment forms in het algemeen, en code-signing specifiek.

Aankomende rapportages over admin-accounts

In het kader van de ISO-27001 certificering van SURFcertificaten zijn we verbeteringen aan het doorvoeren in het accountbeheer van SCM. Hoewel dit voor RAO-accounts een verantwoordelijkheid voor de instelling zelf is, zijn we voornemens om binnenkort elke instelling geautomatiseerd te laten weten welke verbeteringen er mogelijk zijn. Zo raden we aan om alleen nog IdP-accounts (via SURFconext) te gebruiken, 2FA in te schakelen, en zullen we bijvoorbeeld signaleren als er binnen je instelling slechts één persoon is die rechten toe kan kennen aan anderen. Hierover, en over andere verbeteringen aan de beveiliging van SCM, ontvangen jullie later een uitgebreidere update. We zijn ook voornemens om na de zomer een bijeenkomst te organiseren voor SURFcertificaten-gebruikers. Specifiek gericht op ACME, maar ook algemener bedoeld om ervaringen uit te wisselen en informeel vragen te kunnen stellen.

We hopen je hiermee nu weer op de hoogte te hebben gebracht. Als je nog vragen hebt, neem dan gerust contact op met certificaten-beheer@surf.nl

Met vriendelijke groet / Kind regards,

Abdul Altawekji 

25 april 2023

Beste gebruiker van SURFcertificaten,

We willen je graag op de hoogte brengen van enkele ontwikkelingen met betrekking tot de dienst.

Aankomende wijzigingen voor code signing certificaten: Sectigo heeft wijzigingen aangekondigd in de procedures rondom code signing certificaten. Deze wijzigingen gaan in op 8 mei, met als belangrijkste wijziging dat deze alleen nog op een door Sectigo geconfigureerde USB hardware security module (een Safenet 5110, in de meeste gevallen) worden uitgereikt. Daarnaast is het mogelijk om zelf een YubiKey FIPS aan te schaffen en te gebruiken. Meer informatie hierover vind je op hun website.

Automatisering en geldigheid van 90 dagen: Al sinds 2015 is binnen het CA/Browser Forum de trend dat de maximale toegestane geldigheidsduur van certificaten steeds korter wordt. Voor de meeste toepassingen is dat inmiddels 1 jaar. Het is niet de vraag óf, maar wanneer we gaan bewegen naar certificaten met een nog kortere geldigheid, zoals bijvoorbeeld al jaren het geval is bij Let's Encrypt en ZeroSSL met een geldigheid van 90 dagen. Daarom willen we nogmaals het belang van automatisering, bij voorkeur door middel van ACME, benadrukken. ACME is hét protocol wat gebruikt wordt door o.a. Let's Encrypt en ZeroSSL. Wat men vaak (nog) niet weet is dat SURFcertifcaten ook ACME aanbiedt en dat er slechts een kleine aanpassing nodig is om certficaten aan te vragen bij SURFcertificaten in plaats van bij de eerdergenoemde partijen, die dan bovendien Organisation Validated zijn in plaats van alleen Domain Validated. In de SCM administrator guide staan handleidingen voor veel verschillende soorten systemen. Als je hulp of advies nodig hebt, kun je altijd contact opnemen met certificaten-beheer@surf.nl. Vanuit GÉANT - Trusted Certificate Service (TCS) volgen wij uiteraard de ontwikkelingen bij het CA/Browser Forum op de voet.

Problemen met Sectigo support: Onlangs hebben sommigen van ons problemen ervaren met de support van Sectigo, zoals trage of onkundige reacties. Dit is via GÉANT aangekaart, en er zijn verbeteringen beloofd waarvan we voorzichtig al de eerste tekenen terugzien. Wat we zelf nog kunnen doen is bij het registreren van een ticket altijd als case reason ‘Sectigo Certificate Manager’ te kiezen, zodat het ticket in de juiste queue komt.

Duidelijkere richtlijnen voor persoonlijke S/MIME certificaten: Er komen duidelijkere richtlijnen vanuit het CA/Browser Forum voor persoonlijke S/MIME certificaten, voornamelijk over de verschillen tussen persoonscertificaten en certificaten gebruikt voor een specifiek mailadres. Voor een uitgebreide toelichting verwijzen we graag door naar de presentatie van David Groep van het Nikhef. Hier zullen we als SURF in te toekomst zeker nog meer mee aan de slag gaan. S/MIME wordt nu voorzichtig steeds meer gebruikt, en we zien dat er veel vragen over zijn.

Meer verschillende rechten en deze zelf kunnen toekennen in SCM: Sinds de update van afgelopen weekend kunnen RAO’s, oftewel jullie, zelf nieuwe rechten toekennen aan mede-beheerders als je die rechten zelf al hebt. Eerder moest dit via ons. Aangezien de meeste RAO accounts ook al zelf nieuwe beheerders kunnen toevoegen, zorgt dit er voor dat er geen MRAO meer nodig is om bijvoorbeeld een vervanger of back-up beheerder toe te voegen.

We hopen je hiermee nu weer op de hoogte te hebben gebracht. Als je nog vragen hebt, neem dan gerust contact op met certificaten-beheer@surf.nl

Met vriendelijke groet / Kind regards,

Abdul Altawekji 

Beschikbare presentaties

Workshop - opname 3 april 2020 (Sectigo Certificate Manager, API, SAML/SSO en ACME)

Workshop - opname 9 april 2020 (Sectigo Certificate Manager, API, SAML/SSO en ACME)

Workshop - opname 6 mei 2020 (Client Certificate Portal - in English)

Sectigo - Introduction (update 9 april)

Sectigo - Authentication & Automation v1.0.5

  • No labels