TCS-medlemmar,
konkret information från HARICA om avvecklandet av OCSP för publika
servercertifikat följer nedan:
Dear TCS members,
Effective March 2, 2026, HARICA will officially deprecate the use of the
Online Certificate Status Protocol (OCSP) for all newly issued
publicly-trusted server TLS certificates, with exceptions made only for
specific use cases where required. In accordance with evolving industry
standards and browser requirements, certificates issued after this date
will no longer contain an OCSP responder URL in the Authority
Information Access (AIA) extension, by default. Instead, certificate
revocation status will be managed exclusively through Certificate
Revocation Lists (CRLs) and modern browser-native mechanisms.
Why is this change happening?
The industry-wide move away from OCSP is driven by three primary
factors:
- User Privacy: Standard OCSP requests are unencrypted. When a browser
checks a certificate’s status via OCSP, it informs the CA which IP
address is visiting which website. Removing OCSP eliminates this privacy
leak, ensuring that HARICA cannot track user browsing patterns.
- Reliability and Performance: OCSP lookups often add significant
latency to the TLS handshake (the "OCSP stapling" solution, while
helpful, has seen inconsistent adoption). Furthermore, if an OCSP
responder is slow or unreachable, it can cause "soft-fail" delays or
"hard-fail" connection errors, impacting site availability.
- Modern Revocation Standards: Browsers such as Apple Safari, Google
Chrome and Mozilla Firefox have shifted toward more efficient,
privacy-preserving methods for checking revocation at scale, such
as CRLSets and CRLite. These methods rely on the CA publishing
compressed CRLs rather than answering individual OCSP queries.
Timeline of Changes
- Today – March 1, 2026: No immediate action is required. HARICA will
continue to support OCSP for all active certificates.
- March 2, 2026: All new TLS certificates issued by HARICA will omit the
OCSP AIA extension by default. Certain exceptions will be allowed on a
case-by-case basis.
- Post-March 2, 2026: Existing certificates issued prior to this date
will continue to have functional OCSP support until their
natural expiration. By May 4, 2027, we expect our public OCSP
infrastructure to be fully decommissioned for TLS.
Impact on Subscribers
For the vast majority of subscribers, no action is required. Modern web
browsers (Chrome, Safari, Firefox, and Edge) have already prepared for this
transition.
However, a small number of "legacy" or "non-browser" applications that
rely strictly on the presence of an OCSP URL in the certificate for
hard-fail revocation checking may experience issues. We recommend the
following:
- Review Legacy Systems: If you use specialized hardware or older
software that requires OCSP for mutual TLS (mTLS) or specific compliance
checks, ensure they support CRL-based revocation. If you operate legacy
systems that rely exclusively on OCSP and cannot process CRLs, please
contact our technical support team to discuss available options.
- OCSP Stapling: If you currently use OCSP Stapling on your web servers,
the server will simply stop stapling a response once the new certificate
(without an OCSP URL) is installed. This will not break the connection
in modern browsers.
Our Commitment to Security
This change marks a meaningful step toward a faster, more private, and more
resilient internet. We appreciate your continued trust in HARICA and remain
committed to supporting you throughout this transition.
We remain at your disposal for any further information.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
information från GEANT angående kommande borttagning av
clientAuth från "extended key usage" i servercertifikat.
Motsvarande ändringar sker hos andra CAs (Let's Encrypt, Sectigo osv)
innan deadline.
Ändringar påverkar inte användning som servercertifikat, men om ni
har använt servercertifikat för att autentisera som klient vid
uppkoppling mot en server kan ni behöva göra annorlunda framöver.
Kontakta tcs(a)sunet.se om ni har konkreta funderingar om något
användningsfall hos er.
> Subject: [tcs] Information on removal of clientAuth EKU from TLS certificates
> Date: Mon, 5 Jan 2026 23:28:29 +0000 (1 day, 11 hours, 34 minutes ago)
>
> Dear All
>
> You may be aware of information relating to the removal of clientAuth
> EKU from TLS certificates. EKU stands for “extended key usage” and
> defined permissions for how different certificate types could be used
> for additional purposes - the most common being allowing Server
> Authentication and Client Authentication Extended Key Usages in public
> trust certificates by default. To avoid misconfiguration, misuse, and
> policy violations, the CA/B Forum decided that from May 2026 onward,
> publicly trusted CAs will not issue TLS certificates containing the
> ClientAuth EKU.
>
> We are working with HARICA to determine a date as to when these will
> be removed from our certificates, but this will be in line with the
> May 2026 date. This should have no overall impact on the validity of
> certificates used for server authentication only. Any new public
> SSL/TLS certificates issued on or after June 15, 2026 must include
> ONLY the serverAuth EKU. Certificates issued prior to this date will
> remain valid until their expiration (unless revoked beforehand).
>
> For client authentication, we strongly recommend that our community
> use the client certificates tagged as “IGTF certificates” in the
> HARICA portal. On behalf of myself and the PMA we acknowledge a
> mistake in naming these on our part - in the final days of the Sectigo
> contract we had realigned and renamed client certificates as GÉANT
> Personal Authentication and should have used this nomenclature moving
> over to the HARICA contract but fell back on old habits. I will be
> working with HARICA to better position these certificates and rename
> them in a way that is more useful for our community.
>
> I hope that all makes sense but if you need further information or clarification please do not hesitate to reach out.
>
> Many thanks
>
> Nicole
>
> --
> Nicole Harris
> Senior Trust and Security Manager
> GÉANT
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
det nuvarande avtalet med HARICA löper på två år (det längsta som
GEANT kunde få till i samband med den förtida övergången från
Sectigo). Det innebär att det under 2026 är dags att få ett nytt avtal
på plats som ska gälla från 2027.
I samband med sådana övergångar frågas det alltid om vad som borde
behållas, tas bort och läggas till.
Vi har på Sunet-nivån mindre möjlighet nu att se vad ni använder, och
vi kan ju inte se varför och vilka planer ni har, så vi vill ställa
några frågor till er.
Vi börjar med frågor som rör vad tjänsten erbjuder. Vi kan komma att
återkomma senare med frågor som rör kostnad om det blir aktuellt
att ändra vad som ingår och vad som kostar extra.
Generellt:
Behöver ni Sunet TCS från 2027 och framåt? Om så, för vilka slags
certifikat? Om inte, vad använder ni eller tänker använda istället?
Mer specifikt:
Har ni något användningsfall där DV-certifikat inte har fungerat men
OV-certifikat har gjort det?
Använder ni personliga cert (det som heter "Email" hos HARICA)?
Vilken/vilka typer ("Email-only", "IV+OV")? Tänker ni använda dessa
framöver?
Använder ni autentiseringscert som fungerar för gridanvändning (det
som heter "IGTF Client Auth" hos HARICA)? Vilka syften använder ni
dessa för? Är det för grid-användning? Är det för annan autentisering
som egentligen inte har med grid-världen att göra?
Använder ni servercertifikat som fungerar för gridanvändning
(OV-certifikat med kryssrutan för "Request an IGTF eScience Digital
Certificate" vald)? Om så, berätta mer om vad ni använder dem till?
Använder ni ACME hos HARICA?
Saknar ni någon typ av certifikat hos HARICA i dagsläget? Hur har ni i
så fall skaffat detta på annat sätt?
Finns det något annat med tjänsten som ni tycker borde ändras?
Svara till kent.engstrom(a)liu.se (inte till hela listan och inte till
tcs(a)sunet.se) senast 7 november.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
här kommer några blandade uppdateringar för er som inte tagit del av
detta redan via TCS-forumet på Sunet Forum (https://forum.sunet.se/s/tcs/)
eller påminnelser för de av er som har sett det tidigare.
Certifikat från förra årsskiftet
--------------------------------
Glöm inte bort om ni har en hög certifikat ni utfärdade hos Sectigo
under slutet av förra året.
I samband med det abrupta Sectigo-avslutet runt förra årsskiftet, så
var ju en del av hanteringen att migrera till Let’s Encrypt och senare
också att börja använda TCS hos HARICA, men en annan del var ju att
förnya certifikat hos Sectigo innan det upphörde att fungera.
Det innebär att en del av er har en hög Sectigo-certifikat som går ut
runt årsskiftet som kommer. Det kan vara läge att ta hand om dessa i
god tid för att slippa obehagliga plötsligt påkomna arbetsbehov under
ledigheterna när larmen börjar lysa.
ACME
----
ACME har satts i produktion under sommaren. Se
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
och länken vidare till dokumentation hos GEANT.
API-hantering uppdaterad
------------------------
HARICA har tidigare i oktober driftsatt en uppdaterad API-hantering,
där man kan skaffa API-nycklar och sedan anropa ett antal API:er med
hjälp av dessa, istället för den tidigare modellen där man mer eller
mindre fick simulera användare som klickar i webbläsare.
Länk till deras dokumentation finns på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Full kedja med korssignering viktigare med HARICA än med Sectigo
----------------------------------------------------------------
HARICA använder samma knep som Sectigo gjorde, där deras senaste
rot-certifikat (från 2021) också finns i en version signerad av deras
äldre rot-certifikat (2015). Det ser dock ut som det knepet är
viktigare för HARICA, då 2021-roten t.ex. saknas i Java trust stores.
Läs mer på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Se till att ni har mer än en Enterprise Admin
---------------------------------------------
Detta är såklart bra i allmänhet för att verksamheten inte ska vara
beroende av en enda person, men det är också bra i synnerhet om ni
måste återställa 2FA för (en av era) Enterprise Admin - en användare
som får 2FA återställd tappar nänligen roller som Enterprise Admin och
Enterprise Approver, och då är det smidigt om ni själva kan återställa
det åt varandra istället för att behöva kontakta TCS-supporten.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
se meddelande om nertid från HARICA:
> We would like to inform you about an upcoming upgrade to HARICA’s CA software,
> scheduled for Thursday, March 6, at 14:00 CET. During this time, certificate
> issuance will be temporarily suspended for approximately one and a half hours.
De meddelar också att de samma dag kommer byta så att certifikaten
utfärdas av GEANT-specifik sub-CA istället för deras vanliga:
> Additionally, on the same day, we will complete the transition of TCS member
> certificate issuance to the newly branded GEANT issuers, as mentioned in our
> previous message last week.
mvh,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
på torsdag 16 januari kl 10:00 bjuder vi in till en zoom om den nya
TCS-tjänsten via HARICA på
https://liu-se.zoom.us/j/69513736205
Ni som vill läsa på i förväg kan titta på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Om ni idag behöver utfärda servercertifikat som inte fungerar via Let's
Encrypt eller enstaka viktiga S/MIME-certifikat, så kan vi sätta igång
processen för er redan nu. Om det inte är så bråttom rekommenderar vi
att ni först deltar på Zoomen.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider. Vi
återkommer senare ifall vi kan och vill rekommendera motsvarande
automatisering via ACME mot HARICA.
Med vänliga hälsningar,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
Vi har idag fått besked från GÉANT att de har tecknat avtal med HARICA
om leverans av certifikattjänster via TCS. Vi kommer att berätta mer om
det på workshopen som är planerad onsdagen den 8 januari klockan
10.00–11.00.
Länk till mötet: https://sunet.zoom.us/j/4041080224
Rimliga förväntningar på TCS-tjänsten via HARICA när den kommer igång i
januari 2025 är att ni manuellt via deras webbportal kan utfärda
server-certifikat av DV-typ och personliga S/MIME-certifikat.
Vidare funktionalitet är planerad framöver, inklusive OV-certifikat,
grid-certifikat, utfärdande av personliga certifikat via
SWAMID-inloggning (som hos Sectigo), API och ACME. När vi får reda på
konkreta datum så kommer det att meddelas.
Vi återkommer också när vi har information om hur tjänsten kommer igång:
vad vi gör centralt, vad ni gör själva, om alla är välkomna från start
eller om ansökningar behöver prioriteras efter behov, med mera.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Här följer information om nästa Zoom:
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop (med statusuppdatering) *onsdag
den 8 januari klockan 10.00–11.00*.
Under workshopen ges tillfälle att utbyta erfarenheter med lärosäten som
redan genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/4041080224
Vill du dela med dig av något under workshopen? Kontakta Kent (
kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i början
av mötet.
*Preliminär dagordning:*
- Statusuppdatering
- Erfarenhetsdelning
- Frågor, svar och diskussion
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har nu fått information från GÉANT att TCS via Sectigo avslutas *den 9
januari 2025*. Vi hänvisar till tidigare mail där vi ger råd om vad man ska
göra på varje lärosäte. Dessa råd gäller fortfarande:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via
SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Informationen ovan finns också på Sunets wikisida "Avveckling av TCS via
Sectigo" <https://wiki.sunet.se/display/TCS/Avveckling+av+TCS+via+Sectigo> och
uppdateras om/när det behövs.
Vi fortsätter att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se, där alla Sunet TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i Sunets forum
för TCS-certifikat <https://forum.sunet.se/s/tcs/>, där det också finns
möjlighet att utbyta erfarenheter.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till ytterligare en workshop torsdag den 12
december klockan 13.00–14.30.
Under workshopen ges tillfälle att lyssna på lärosäten som redan
genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/64073424989
Vill du dela med dig av något under workshopen? Kontakta Kent
(kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i
början av mötet.
Preliminär dagordning:
- Erfarenhetsdelning
- Hanteringen av Sunet-tjänster med lärosätescertifikat
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
