vi fick ju tidigare information om begränsning av giltighetstid för
domänvalidering ner till 200 dagar (jag tar med information om detta
nedan också för de som inte sett det direkt från HARICA eller via Sunet
Forum TCS), men nu är det dags för det egentligen är mer grundläggande,
steget ner från 265 till 199 dagars giltighetstid för certifikaten som
sådana.
Det behövs ingen direkt åtgärd från er för detta, men om ni har manuellt
hanterade certifikat som går ut snart kan det ju vara slugt att förnya
dem nu innan 9 mars för att få full giltighetstid på dem, för som ni ser
nedan så påverkas ju inte giltighetstiden för certifikat utfärdade innan
ändringen av detta.
-- Informationen om certifikaten från HARICA --
In alignment with the updated Baseline Requirements for SSL/TLS
Certificates, Certificates issued on or after 15 March 2026 should not
have a validity period exceeding 199 days.
As part of our ongoing compliance measures, HARICA will reduce the
maximum validity period for Server Certificates from 365 days to 199
days.
Implementation timeline The above change will be implemented gradually
during the period 9–13 March 2026:
Before 9 March: All newly issued Server Certificates will continue to be
issued with the current maximum validity period (397 days).
Between 9 and 13 March: A transitional implementation period will apply.
During this time, issuance duration may vary as system updates are
progressively deployed.
After 13 March: All newly issued Server Certificates will be issued with
the new maximum validity period of 199 days.
Subscribers are advised to take this transitional window into
consideration when planning certificate issuance or renewal activities.
Impact on existing certificates Please note that the above changes do
not affect the validity of certificates that have already been issued.
All currently active certificates will remain valid until their existing
expiration date.
--- Information tidigare om giltighetstiderna för DCV och OV som hänger ihop med detta ---
Pursuant to the updated Baseline Requirements for SSL/TLS Certificates,
effective as of 15 March 2026, the reuse periods for the following
validation types will be amended as follows:
Domain Validation (DCV): reduced from 398 days to 200 days
Identity Validation (OV): reduced from 825 days to 398 days
In order to ensure compliance with the upcoming requirements, HARICA has
proactively adjusted the corresponding expiration dates for all
onboarded organizations that currently maintain active Domain Validation
(DCV) and/or Identity Validation (OV).
As a result, organizations will receive advance expiration notifications
(15 days for DCV and 30 days for OV) in accordance with the new
validation periods taking effect on 15 March 2026, enabling the timely
completion of the required renewal actions.
Review of updated validation status
To review the updated expiration dates for Domain Validation and
Identity Validation (OV) and to initiate the necessary actions, please
refer to the attached Enterprise Admin Guide, specifically:
C) Initiate Domain Validation for Enterprises
E) Submit Legal Evidence for Identity Validation
Specific changes to be applied
Domain Validation (DCV):
For organizations with an active DCV expiring between 13 March 2026 and
26 September 2026, the expiration date has been set to 13 March 2026.
For organizations with an active DCV expiring on 27 September 2026 or
later, the expiration date has been reduced by 199 days.
These adjustments ensure that the total validity period does not exceed
199 days.
Identity Validation (OV):
For organizations with an active OV Validation expiring between 13 March
2026 and 13 May 2027, the expiration date has been set to 13 March 2026.
For organizations with an active OV Validation expiring on 14 May 2027
or later, the expiration date has been reduced by 428 days.
These adjustments ensure that the total validity period does not exceed
397 days.
Important notes
One day has been intentionally deducted from the maximum validity
periods (200 → 199 days and 398 → 397 days) as a precautionary measure,
ensuring that no certificate is issued without an active and valid
validation in place.
13 March was selected as the reference date instead of 15 March, as 15
March falls on a Sunday. This allows HARICA personnel to be fully
available to promptly address any potential validation-related issues.
For OV Validations expiring within 30 days from the date of this notice,
organizations are strongly advised to submit Legal Evidence for Identity
Validation (OV) without delay.
--- Kommentarer för Sunet TCS specifik angående valideringen ovan ---
DCV för domäner: ni hittar giltihetstiden i domäntabellen på samma
ställe som ni går till för att förnya DCV
OV-giltighet hittar ni på huvudsidan för er organisation, lång upp till
höger under Validity och OV: Notera att för er som inte har
organisationsvaliderat så står ett datum där som är tidigare än när er
organisation lades upp.
Ni som har OV på plats men som går ut snart och ska fortsätta använda
OV-certifikat kan kontakta tcs(a)sunet.se så ger vi instruktioner om hur
ni laddar upp det som behövs. Vi har skött det hitills för vi trodde det
skulle vara besvärligt, men det har räckt med att ladda upp en textfil
med lite lagom boilerplate om organisationsnummer och att ni räknas som
GOV-SE (förutom för de av er som inte gör det, men det tar vi i så fall
i ärendet).
Med vänliga hälsningar,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
konkret information från HARICA om avvecklandet av OCSP för publika
servercertifikat följer nedan:
Dear TCS members,
Effective March 2, 2026, HARICA will officially deprecate the use of the
Online Certificate Status Protocol (OCSP) for all newly issued
publicly-trusted server TLS certificates, with exceptions made only for
specific use cases where required. In accordance with evolving industry
standards and browser requirements, certificates issued after this date
will no longer contain an OCSP responder URL in the Authority
Information Access (AIA) extension, by default. Instead, certificate
revocation status will be managed exclusively through Certificate
Revocation Lists (CRLs) and modern browser-native mechanisms.
Why is this change happening?
The industry-wide move away from OCSP is driven by three primary
factors:
- User Privacy: Standard OCSP requests are unencrypted. When a browser
checks a certificate’s status via OCSP, it informs the CA which IP
address is visiting which website. Removing OCSP eliminates this privacy
leak, ensuring that HARICA cannot track user browsing patterns.
- Reliability and Performance: OCSP lookups often add significant
latency to the TLS handshake (the "OCSP stapling" solution, while
helpful, has seen inconsistent adoption). Furthermore, if an OCSP
responder is slow or unreachable, it can cause "soft-fail" delays or
"hard-fail" connection errors, impacting site availability.
- Modern Revocation Standards: Browsers such as Apple Safari, Google
Chrome and Mozilla Firefox have shifted toward more efficient,
privacy-preserving methods for checking revocation at scale, such
as CRLSets and CRLite. These methods rely on the CA publishing
compressed CRLs rather than answering individual OCSP queries.
Timeline of Changes
- Today – March 1, 2026: No immediate action is required. HARICA will
continue to support OCSP for all active certificates.
- March 2, 2026: All new TLS certificates issued by HARICA will omit the
OCSP AIA extension by default. Certain exceptions will be allowed on a
case-by-case basis.
- Post-March 2, 2026: Existing certificates issued prior to this date
will continue to have functional OCSP support until their
natural expiration. By May 4, 2027, we expect our public OCSP
infrastructure to be fully decommissioned for TLS.
Impact on Subscribers
For the vast majority of subscribers, no action is required. Modern web
browsers (Chrome, Safari, Firefox, and Edge) have already prepared for this
transition.
However, a small number of "legacy" or "non-browser" applications that
rely strictly on the presence of an OCSP URL in the certificate for
hard-fail revocation checking may experience issues. We recommend the
following:
- Review Legacy Systems: If you use specialized hardware or older
software that requires OCSP for mutual TLS (mTLS) or specific compliance
checks, ensure they support CRL-based revocation. If you operate legacy
systems that rely exclusively on OCSP and cannot process CRLs, please
contact our technical support team to discuss available options.
- OCSP Stapling: If you currently use OCSP Stapling on your web servers,
the server will simply stop stapling a response once the new certificate
(without an OCSP URL) is installed. This will not break the connection
in modern browsers.
Our Commitment to Security
This change marks a meaningful step toward a faster, more private, and more
resilient internet. We appreciate your continued trust in HARICA and remain
committed to supporting you throughout this transition.
We remain at your disposal for any further information.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
information från GEANT angående kommande borttagning av
clientAuth från "extended key usage" i servercertifikat.
Motsvarande ändringar sker hos andra CAs (Let's Encrypt, Sectigo osv)
innan deadline.
Ändringar påverkar inte användning som servercertifikat, men om ni
har använt servercertifikat för att autentisera som klient vid
uppkoppling mot en server kan ni behöva göra annorlunda framöver.
Kontakta tcs(a)sunet.se om ni har konkreta funderingar om något
användningsfall hos er.
> Subject: [tcs] Information on removal of clientAuth EKU from TLS certificates
> Date: Mon, 5 Jan 2026 23:28:29 +0000 (1 day, 11 hours, 34 minutes ago)
>
> Dear All
>
> You may be aware of information relating to the removal of clientAuth
> EKU from TLS certificates. EKU stands for “extended key usage” and
> defined permissions for how different certificate types could be used
> for additional purposes - the most common being allowing Server
> Authentication and Client Authentication Extended Key Usages in public
> trust certificates by default. To avoid misconfiguration, misuse, and
> policy violations, the CA/B Forum decided that from May 2026 onward,
> publicly trusted CAs will not issue TLS certificates containing the
> ClientAuth EKU.
>
> We are working with HARICA to determine a date as to when these will
> be removed from our certificates, but this will be in line with the
> May 2026 date. This should have no overall impact on the validity of
> certificates used for server authentication only. Any new public
> SSL/TLS certificates issued on or after June 15, 2026 must include
> ONLY the serverAuth EKU. Certificates issued prior to this date will
> remain valid until their expiration (unless revoked beforehand).
>
> For client authentication, we strongly recommend that our community
> use the client certificates tagged as “IGTF certificates” in the
> HARICA portal. On behalf of myself and the PMA we acknowledge a
> mistake in naming these on our part - in the final days of the Sectigo
> contract we had realigned and renamed client certificates as GÉANT
> Personal Authentication and should have used this nomenclature moving
> over to the HARICA contract but fell back on old habits. I will be
> working with HARICA to better position these certificates and rename
> them in a way that is more useful for our community.
>
> I hope that all makes sense but if you need further information or clarification please do not hesitate to reach out.
>
> Many thanks
>
> Nicole
>
> --
> Nicole Harris
> Senior Trust and Security Manager
> GÉANT
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
det nuvarande avtalet med HARICA löper på två år (det längsta som
GEANT kunde få till i samband med den förtida övergången från
Sectigo). Det innebär att det under 2026 är dags att få ett nytt avtal
på plats som ska gälla från 2027.
I samband med sådana övergångar frågas det alltid om vad som borde
behållas, tas bort och läggas till.
Vi har på Sunet-nivån mindre möjlighet nu att se vad ni använder, och
vi kan ju inte se varför och vilka planer ni har, så vi vill ställa
några frågor till er.
Vi börjar med frågor som rör vad tjänsten erbjuder. Vi kan komma att
återkomma senare med frågor som rör kostnad om det blir aktuellt
att ändra vad som ingår och vad som kostar extra.
Generellt:
Behöver ni Sunet TCS från 2027 och framåt? Om så, för vilka slags
certifikat? Om inte, vad använder ni eller tänker använda istället?
Mer specifikt:
Har ni något användningsfall där DV-certifikat inte har fungerat men
OV-certifikat har gjort det?
Använder ni personliga cert (det som heter "Email" hos HARICA)?
Vilken/vilka typer ("Email-only", "IV+OV")? Tänker ni använda dessa
framöver?
Använder ni autentiseringscert som fungerar för gridanvändning (det
som heter "IGTF Client Auth" hos HARICA)? Vilka syften använder ni
dessa för? Är det för grid-användning? Är det för annan autentisering
som egentligen inte har med grid-världen att göra?
Använder ni servercertifikat som fungerar för gridanvändning
(OV-certifikat med kryssrutan för "Request an IGTF eScience Digital
Certificate" vald)? Om så, berätta mer om vad ni använder dem till?
Använder ni ACME hos HARICA?
Saknar ni någon typ av certifikat hos HARICA i dagsläget? Hur har ni i
så fall skaffat detta på annat sätt?
Finns det något annat med tjänsten som ni tycker borde ändras?
Svara till kent.engstrom(a)liu.se (inte till hela listan och inte till
tcs(a)sunet.se) senast 7 november.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
här kommer några blandade uppdateringar för er som inte tagit del av
detta redan via TCS-forumet på Sunet Forum (https://forum.sunet.se/s/tcs/)
eller påminnelser för de av er som har sett det tidigare.
Certifikat från förra årsskiftet
--------------------------------
Glöm inte bort om ni har en hög certifikat ni utfärdade hos Sectigo
under slutet av förra året.
I samband med det abrupta Sectigo-avslutet runt förra årsskiftet, så
var ju en del av hanteringen att migrera till Let’s Encrypt och senare
också att börja använda TCS hos HARICA, men en annan del var ju att
förnya certifikat hos Sectigo innan det upphörde att fungera.
Det innebär att en del av er har en hög Sectigo-certifikat som går ut
runt årsskiftet som kommer. Det kan vara läge att ta hand om dessa i
god tid för att slippa obehagliga plötsligt påkomna arbetsbehov under
ledigheterna när larmen börjar lysa.
ACME
----
ACME har satts i produktion under sommaren. Se
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
och länken vidare till dokumentation hos GEANT.
API-hantering uppdaterad
------------------------
HARICA har tidigare i oktober driftsatt en uppdaterad API-hantering,
där man kan skaffa API-nycklar och sedan anropa ett antal API:er med
hjälp av dessa, istället för den tidigare modellen där man mer eller
mindre fick simulera användare som klickar i webbläsare.
Länk till deras dokumentation finns på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Full kedja med korssignering viktigare med HARICA än med Sectigo
----------------------------------------------------------------
HARICA använder samma knep som Sectigo gjorde, där deras senaste
rot-certifikat (från 2021) också finns i en version signerad av deras
äldre rot-certifikat (2015). Det ser dock ut som det knepet är
viktigare för HARICA, då 2021-roten t.ex. saknas i Java trust stores.
Läs mer på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Se till att ni har mer än en Enterprise Admin
---------------------------------------------
Detta är såklart bra i allmänhet för att verksamheten inte ska vara
beroende av en enda person, men det är också bra i synnerhet om ni
måste återställa 2FA för (en av era) Enterprise Admin - en användare
som får 2FA återställd tappar nänligen roller som Enterprise Admin och
Enterprise Approver, och då är det smidigt om ni själva kan återställa
det åt varandra istället för att behöva kontakta TCS-supporten.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
se meddelande om nertid från HARICA:
> We would like to inform you about an upcoming upgrade to HARICA’s CA software,
> scheduled for Thursday, March 6, at 14:00 CET. During this time, certificate
> issuance will be temporarily suspended for approximately one and a half hours.
De meddelar också att de samma dag kommer byta så att certifikaten
utfärdas av GEANT-specifik sub-CA istället för deras vanliga:
> Additionally, on the same day, we will complete the transition of TCS member
> certificate issuance to the newly branded GEANT issuers, as mentioned in our
> previous message last week.
mvh,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
på torsdag 16 januari kl 10:00 bjuder vi in till en zoom om den nya
TCS-tjänsten via HARICA på
https://liu-se.zoom.us/j/69513736205
Ni som vill läsa på i förväg kan titta på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Om ni idag behöver utfärda servercertifikat som inte fungerar via Let's
Encrypt eller enstaka viktiga S/MIME-certifikat, så kan vi sätta igång
processen för er redan nu. Om det inte är så bråttom rekommenderar vi
att ni först deltar på Zoomen.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider. Vi
återkommer senare ifall vi kan och vill rekommendera motsvarande
automatisering via ACME mot HARICA.
Med vänliga hälsningar,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
Vi har idag fått besked från GÉANT att de har tecknat avtal med HARICA
om leverans av certifikattjänster via TCS. Vi kommer att berätta mer om
det på workshopen som är planerad onsdagen den 8 januari klockan
10.00–11.00.
Länk till mötet: https://sunet.zoom.us/j/4041080224
Rimliga förväntningar på TCS-tjänsten via HARICA när den kommer igång i
januari 2025 är att ni manuellt via deras webbportal kan utfärda
server-certifikat av DV-typ och personliga S/MIME-certifikat.
Vidare funktionalitet är planerad framöver, inklusive OV-certifikat,
grid-certifikat, utfärdande av personliga certifikat via
SWAMID-inloggning (som hos Sectigo), API och ACME. När vi får reda på
konkreta datum så kommer det att meddelas.
Vi återkommer också när vi har information om hur tjänsten kommer igång:
vad vi gör centralt, vad ni gör själva, om alla är välkomna från start
eller om ansökningar behöver prioriteras efter behov, med mera.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Här följer information om nästa Zoom:
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop (med statusuppdatering) *onsdag
den 8 januari klockan 10.00–11.00*.
Under workshopen ges tillfälle att utbyta erfarenheter med lärosäten som
redan genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/4041080224
Vill du dela med dig av något under workshopen? Kontakta Kent (
kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i början
av mötet.
*Preliminär dagordning:*
- Statusuppdatering
- Erfarenhetsdelning
- Frågor, svar och diskussion
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har nu fått information från GÉANT att TCS via Sectigo avslutas *den 9
januari 2025*. Vi hänvisar till tidigare mail där vi ger råd om vad man ska
göra på varje lärosäte. Dessa råd gäller fortfarande:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via
SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Informationen ovan finns också på Sunets wikisida "Avveckling av TCS via
Sectigo" <https://wiki.sunet.se/display/TCS/Avveckling+av+TCS+via+Sectigo> och
uppdateras om/när det behövs.
Vi fortsätter att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se, där alla Sunet TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i Sunets forum
för TCS-certifikat <https://forum.sunet.se/s/tcs/>, där det också finns
möjlighet att utbyta erfarenheter.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
