TCS-medlemmar,
vi har fått felrapporter om självbetjäningsportalen för personliga
certifikat (klientcertifikat) idag, och tester ger vid handen att det
ser ut som om detta påverkar alla organisationer.
Istället för att komma vidare till val av certifikattyp osv efter
inloggning på https://cert-manager.com/customer/sunet/idp/clientgeant
får man röd felmeddelandebox i stil med "None of emails
(YOUR-EMAIL-ADDRESS) matches to validated domains delegated to
organization YOUR-ORGANIZATION. Please contact your security
administrator." för sin mejladress och organsation.
Vi har felanmält till Sectigo och har dessutom fått reda på att våra
tyska kollegor redan felanmält och begärt eskalering.
Vi meddelar när det fungerar igen.
Med vänliga hälsningar,
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
SUNET TCS-medlemmar,
detta berör er om ni använder federerad inloggning (via er SWAMID-IdP)
mot Sectigo Certificate Manager och/eller portalen för
klientcert-självbetjäning.
Om er IdP inte tar emot uppdaterad metadata för tjänster via SWAMID
automatiskt behöver ni se till att era IdP-admins triggar detta manuellt
efter bytet för att det ska fortsätta fungera.
Jag tror ingen av er har krånglat med "hard-code login links" eller
"bypass the discovery service", men skulle så vara fallet, se
informationen om detta nedan.
Casper Dreef <casper.dreef(a)geant.org> writes:
> Subject: Important: Required Action for Trusted Certificate Service Subscribers Using Federated Access
>
> Dear TCS MRAO,
>
> We are writing to inform you about an update to the Sectigo Certificate Manager that will go live today, August 8, at 17:00CEST.
>
> The update will affect anyone logging into the Sectigo Certificate Manager using federated SSO (single sign-on) authentication.
>
> Scheduled Update:
> - Sectigo is issuing new assertion consumer service endpoints for the Sectigo Certificate Manager, with indexes 3 and 4, as well as new discovery response and logout endpoints.
> - The update will take effect at 17:00 CEST on today, August 8, 2024.
> - The Sectigo Certificate Manager will invoke logins for TCS subscribers using these new endpoints.
> - The old endpoints will be withdrawn from service in the next few weeks.
>
> Required Actions:
> - Certificate Service RAOs (Registration Authority Officers) that hard-code login links for their customers need to update their login URLs by following these instructions:
> - If you bypass the discovery service, you will need to update the URL with the following, substituting your IdP’s entityID where indicated:
>
> https://cert-manager.com/saml2int/Shibboleth.sso/geant?target=https://cert-…<CUSTOMER>/idp-saml2int&entityID=<your IdP's URL-encoded entityID>
> Note: <CUSTOMER> equals to the NREN tag used in SCM.
>
> If you use the discovery service, no manual URL update is required.
>
> IdP (Identity Provider) operators need to refresh their metadata to
> receive the new Sectigo Certificate Manager assertion consumer service
> endpoints. We recommend that you refresh metadata at least once a day
> or use MDQ (Metadata Query) as a best practice. If you follow our
> recommendations, no manual metadata update is required.
>
> If you have followed the above guidance and are still experiencing issues, please contact the Sectigo helpdesk.
>
> Best regards,
>
> Casper Dreef
> Service Specialist - Trust & Security
> GÉANT
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
förra våren hade vi i samband med TCS-status på Sunetdagarna ett pass
där några organisationer delade med sig av sina erfarenheter av
certifikatautomatisering (API via TCS, ACME via TCS på olika sätt, Let's
Encrypt, ...) vilket var mycket uppskattat.
Vi kör nu en ny omgång av detta där TCS-användare från SU, Ladok och
GU delar med sig av sina erfarenheter. Det kommer också finnas
möjlighet för statusuppdateringar från er andra och frågor.
Boka datum och tid redan nu: torsdag 8 februari kl 10-12.
Vi återkommer med Zoom-länk i samband med senare påminnelse.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Sunet TCS-medlemmar,
förra våren hade vi i samband med TCS-status på Sunetdagarna ett pass
där några organisationer delade med sig av sina erfarenheter av
certifikatautomatisering (API via TCS, ACME via TCS på olika sätt, Let's
Encrypt, ...) vilket var mycket uppskattat.
Det bör finnas fler organisationer som provat nu, och uppdaterade
erfarenheter från de som hållt på ett tag, och frågan är än mer aktuell
nu.
Vi vill bjuda in till en ny Zoom innan jul om detta för
erfarenhetsutbyte. För att det ska fungera behöver några av er ställa
upp och presentera era erfarenheter (10-20 min beroende på vad ni har
att säga). Har vi några frivilliga? Hör i så fall av er till
kent.engstrom(a)liu.se.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta angår er om er organisation utfärdar personliga certifikat
("vanliga" eller grid-varianter). Om så inte är fallet så kan ni
ignorera det här brevet.
Som vi förvarnat om tidigare, senast i mitt mejl 14/8, så är det
ändringar på gång i systemet på grund av krav från CA/B forum på
personliga certifikat från 1/9. Läs mer om detta i mitt tidigare mejl.
Jag (Kent) hade tänkt använda den här veckan för att experimentera med
det som kom in i SCM förra helgen, men hamnade istället akut på
sjukhus (ute nu, ingen akut fara med mig längre) så mina kollegor på
andra håll i Europa har fått testa utan mig. Jag har nu läst ikapp och
frågat runt och har en så god bild som jag kan få av vad som är på
gång.
På grund av detta och att vi uppmanat användare med utgående
certifikat att söka nya sådana fram till helgen, så har vi valt att
inte ändra något i SCM denna vecka som skulle kunna ställa till det
för detta. Vi börjar istället på måndag förmiddag med fixandet.
CERTIFIKATPROFILER
Det ska in två nya certifikatprofiler i SCM. Detta måste göras med
högsta behörigheten, så det gör vi. Vi åtkommer med namnen när vi ser
hur dessa slår igenom till https://cert-manager.com/customer/sunet/idp/clientgeant
osv.
ORGANISATIONSVALIDERING
Organisationer behöver omvalideras för att kunna utfärda personliga
certifikat av det nya slaget från och med måndag (då de gamla
profilerna inte längre fungerar).
Det ser ut som om man kan få det gjort i "bakgrunden" genom att
redigera och lägga in VAT-nummer i organisationsposten (det är det
enda nya fält som tillkommit), och då innebär det att servercert kan
fortsätta utfärdas medan detta sker. MEN: det finns raporter om att
ifall man redigerar två gånger, eller ifall man trycker på Revalidate,
eller kanske om man har otur(?), så hamnar man i en "vanlig" validering
som innebär att inga certifikat (inkl server) kan utfärdas innan den
är klar.
Därför: försök inte pilla med detta själva så vi riskerar att göra det
dubbelt. När ni är redo för detta (inklusive risken att det tar stopp
för servercert i timmar - dag om vi har otur) så skicka ett mejl till
tcs(a)sunet.se med ärenderad "Validera" följt av ert organisationsnamn,
så sätter vi igång. Inkludera ert VAT-nummer i mejlet, så slipper vi
surfa runt och leta (det står säkert i samband med
faktureringsinformation hos er, och baseras ju på organisationsnumret,
men ni får rota fram det själva).
Ni styr alltså risken själva - väger hur bråttom det är att komma
igång med personliga cert igen mot risken med eventuella servercert
som behöver utfärdas samtidigt men kan blockeras ett tag.
PERSONVALIDERING
Det sägs att personposten i SCM också behöver ha Validation Type satt
till High istället för Normal.
Den goda nyheten är att det nu ska vara ordnat så att detta sätts
automatiskt när nya personer skapas för att de använder vår
"clientgeant"-portal för att skaffa cert.
Den dåliga nyheten är att vi läst från de som provat att det ännu
inte verkar som om existerande personer uppdateras, och där har nästan
alla "normal" idag. Detta håller ju inte för drift, och vi har skickat
fråga via GEANT om detta men inte fått svar än.
Som en workaround bör ni dock manuellt kunna uppdatera enstaka
personer till validation type high och det ska vara OK om de inte
lagts upp på annat sätt än genom att de använt "clientgeant"-portalen.
PERSONLIGA GRID-CERTIFIKAT
Här saknar vi ordentlig information om dessa väntar på något som
Sectigo ska göra klart i SCM/clientgeant, om det ska göras något
särskilt av oss/er osv.
ÅTERKOMMER
Vi återkommer så snart vi kan när det som är dimhöljt ovan klarnar.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta rör personliga certifikat (både "vanliga" och grid-varianter).
CA/B Forum har bestämt sig för att reglera publikt betrodda personliga
certifikat också, med start från 1 september. Detta innebär ändringar
av regler för validering, subject osv.
För det särskilda som gäller för grid-certifikat, se tidigare brev 24
juli.
Sectigo jobbar på att få ändringar i SCM på plats, och har informerat
om att det kommer behövas ytterligare validering av information för
organisationer efter nästa uppdatering av SCM 19/8 för att kunna
utfärda de nya typerna av personliga certifikat. Vi återkommer när vi
har mer information om vad ni behöver göra och hur.
Sectigo har också meddelat att man från och med 28/8 (inte 1/9) inte
utfärdar den gamla typen av personliga certifikat.
Sectigo rekommenderar också att de som behöver personliga certifikat
framöver hämtar ut ett av existerande typ innan 28/8 för att minska
risken för problem vid förseningar. Vi håller med.
Vi kommer under morgondagen skicka individuella automatiska brev till
aktuella användare (till epostadressen som står i certifikatet) med
information om detta. De som redan fått motsvarande information om
grid-certifikat får inte nytt brev om dessa.
Vi återkommer med mer information när vi får det från Sectigo eller
GÉANT.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta rör personliga certifikat av grid/IGTF-typ (profilerna GÉANT
IGTF-MICS Personal och GÉANT IGTF-MICS-Rbot Personal i portalen på
https://cert-manager.com/customer/sunet/idp/clientgeant)
De personliga grid-certifikaten som är betrodda inom grid-världen har
också varit publikt betrodda i epost-program etc. (på samma
sätt som den "vanliga" profilen GÉANT Personal Certificate).
CA/B Forum har bestämt sig för att reglera publikt betrodda personliga
certifikat också, och reglerna innebär att Subject-namnen behöver
ändras för personliga certifikat. För den vanliga profilen vars
huvudsakliga användning är att signera epost med mera spelar det
mindre roll eftersom formatet där inte "hugget i sten" (det ska
identifiera personen och innehålla eposten), men för grid-certifikaten
som används för autentisering och där Subject används som
användarnamn/identifierare i olika system, så är det viktigt att
behålla Subject helt oförändrat. Samtidigt är det krasst sett inte
nödvändigt att dessa certifikat är publikt betrodda i epost-program
etc (normalt för personliga grid-certifikat från annat håll är att de
inte är det.)
GÉANT TCS har därför valt vägen framåt att skapa en ny privat CA/rot
som kommer vara betrodd inom grid-världen (och av andra tjänster som
väljer att lita på den). Den kommer inte vara publikt betrodd, och
omfattas därmed inte av CA/B Forums regler och existerande format för
Subject kan fortsätta användas.
GÉANT TCS and Sectigo jobbar hårt på att få roten på plats, få roten
distribuerad via grid-kanalerna, clientgeant-portalen uppdaterad, osv,
men deadline för de nya reglerna är 2023-09-01.
Vi gör bedömningen att det finns en viss risk att detta inte är klart
2023-09-01. För att minimera risken att ett uppehåll i möjligheten att
utfärda personliga grid-certifikat orsakar problem för existerande
användare, så uppmanar vi dessa att förnya sina personliga
gridcertifikat i tid innan 2023-09-01 ifall de går ut under hösten
(eller har gått ut nyss men fortfarande behövs).
Vi kommer under morgondagen skicka individuella automatiska brev till
aktuella användare (till epostadressen som står i certifikatet) med
information om detta.
Vi återkommer med mer information när vi har den.
Med vänliga hälsningar,
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Sunet TCS-medlemmar,
sedan någon gång förra veckan (om rapporter om framgång och fel stämmer,
någon gång mellan onsdag och torsdag) så är det problem med nedladdning
av personliga certifikat via portalen på
https://cert-manager.com/customer/sunet/idp/clientgeant
Det verkar som om det är varianten med Key Generation som inte fungerar
(cert skapas, men hämtningen av cert till portalen misslyckas). Om man
använder varianten där man tankar upp CSR så ser det fortfarande ut att
fungera. Det är kanske en klen tröst dock, om det är Key Generation som
fungerar väl för användarna.
GEANT är medvetna (detta drabbar hela tjänsten, inte bara Sunet TCS) och
har felrapporterat till Sectigo. Vi återkommer när vi har mer
information.
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
Hej,
Har du anmält dig <https://www.sunetdagarna.se> till Sunetdagarna? Den
18–20 april träffas vi på Mälardalens universitet, Campus Eskilstuna, för
några fullmatade dagar om IT-infrastruktur och digitala tjänster för högre
utbildning och forskning. Programmet finns på www.sunetdagarna.se.
Några av de ämnen som tas upp är:
- Digitalt campus
- Mänskliga reaktioner i extrema situationer
- AI för effektivt lärande
- EU:s digitala identitetsplånbok
- Projektet “Studentens digitala resa”
- Sunet datacenter för framtiden
- Öppna digitala resurser för studenters lärande
- Nätverkautomation och IT-säkerhet
- Polar Connect – robust nätanslutning via Arktis
- Badges och Microcredentials
- Vad är Sunet?
- Digital pedagogisk kompetens
Anmäl dig på www.sunetdagarna.se. Platserna är begränsade så vänta inte för
länge!
Pål
Hej,
ni som använder kodsigneringscertifikat behöver ta till er detta.
Övriga inte.
Som vi förvarnade om på Sunetdagarna i oktober, så har CA/B Forum
bestämt hårdare regler för kodsigneringscertifikat av OV-typ, så att
nyckeln för dessa måste genereras på hårdvara, något som tidigare
krävts bara för EV-typen.
Sectigo har nu meddelat att 24 april 2023 är dagen då de inte längre
utfärdar OV-kodsigneringscert på det gamla sättet (då man kunde
generera nyckel själv på valfritt sätt).
GEANT reder ut med Sectigo hur man inom TCS beställer efter detta
datum så vi får återkomma om det, men det kan bli något som påminner
om EV-varianten.
Hursomhelst, ni som använder OV-kodsignering idag bör i god tid innan
24 april 2023 plocka ut aktuella certifikat med längsta giltighetstid
för att minska risken för strul.
Om ni inte är säkra på vad ni har, titta i SCM under Certificates ->
Code Signing Certificates.
Från Sectigos epost om detta:
> Dear Sectigo Customer,
>
> Last year, the CA Browser (CA/B) Forum announced changes to its
> regulations for Code Signing certificates and services, requiring all
> Certificate Authorities to ensure that the Subscriber’s Private Key is
> generated, stored, and used in a suitable FIPS-compliant hardware.
> This change from the CA/B Forum aims to improve security and help
> reduce risk of compromise.
>
> The deadline for implementation of the new regulations is June 1,
> 2023. In future, Sectigo OV code signing certificates will be either:
>
> - Installed on a Sectigo token and shipped securely to the customer
> - Available as a download to be installed on the customer’s own HSM.
> The hardware devices (e.g. tokens, HSMs, etc.) must be FIPS-compliant
> and support externally verifiable key attestation.
>
> Starting April 24, 2023, you will no longer be able to purchase or
> issue standard OV Code Signing certificates.
>
> What should you do next?
>
> Issue any already purchased OV Code Signing certificates, or purchase
> and issue new OV Code Signing certificates with a validity of up to 3
> years, prior to April 24, 2023. If you fail to do so, you will have to
> use your own FIPS-compliant hardware, or pay extra for receiving a
> Sectigo-issued token.
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
