Ändringar i utfärdande av HCC Funktion

Relevanta dokument
Rutin för utgivning av funktionscertifikat

En övergripande bild av SITHS

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

Manual Beställning av certifikat (HCC) till reservkort

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Revisionsfrågor HSA och SITHS 2014

Rutin för utgivning av funktionscertifikat

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Rutiner för SITHS kort

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Kommunförbundet Skåne. Ansluten organisation: Ansluten organisation org.nr: Versionsnr: Datum: SITHS Policy Authority

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Revisionsfrågor HSA och SITHS 2015

Beställning av certifikat v 2

Regler vid verksamhetsövergång och ägarbyte

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

etjänstekortsmodellen

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Filleveranser till VINN och KRITA

Rutiner för SITHS kort

Rutin och handledning för Ansvarig utgivare. Identifieringstjänst SITHS

ENUM Tier 1 Registry - Rutiner för provdrift Version II-stiftelsen 1 (20) Version

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

Identifieringstjänst. del av projektet Infrastruktur

Guide. SITHS reservkort (12)

Modul 3 Föreläsningsinnehåll

Kontroll av e-tjänstekort och tillhörande PIN-koder

Beställning av certifikat v 3.0

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Registration Authority Practice Statement RAPS

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

Rutiner för etjänstekort

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Checklista. För åtkomst till Svevac

Rutin vid kryptering av e post i Outlook

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Samverka effektivare via regiongemensam katalog

Försöksnomineringssystem 2013

Vägledning för implementering av AD-inloggning med SITHS-kort

Protokollbeskrivning av OKI

Västra Götalands RA-organisation

SITHS rekommendationer för internt revisionsarbete

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Handbok för administratörer. SITHS Admin

SITHS Thomas Näsberg Inera

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Handbok för användare. HCC Administration

Användarmanual för Pagero Kryptering

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

Guide. Svensk e-identitet AB Vaksalagatan 6 Tel: Org. nr: Uppsala

SITHS RAPS för Region Skåne Version

Ladda på nya certifikat på reservkort så medarbetaren kan ha kvar kortet längre tid Författare:

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

EFOS-dagen, Lanseringsplan. 26 September 2018

Uppsägning av kontrakt för domännamn.

Manual för nedladdning av certifikat till reservkort

Införande av SITHS kort i en. Förstärkt inloggning enligt Nationella rutiner och rekommendationer Version

SITHS Anslutningsavtal RA Policy

Policy Underskriftstjänst Svensk e-legitimation

Krypteringteknologier. Sidorna ( ) i boken

Frågor och Svar etjänstekort

Ditt nya smarta etjänstekort!

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Ansvarsförbindelse etjänstekort

Rutin för domänvalidering. Verifiering av organisationer och ombud

WS-MATERALTJÄNSTER-CERTIFIKAT Anvisningar hur man skaffar och förnyar certifikat E-postkanalen

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

256bit Security AB Offentligt dokument

Byta bort SITHS-cert i frontend

Rutiner för IDadministratörer. Identifieringstjänst SITHS

Integration mot SPOR. Svenskt PeriOperativt Register 3.0

Rutin för domänvalidering. Verifiering av organisationer och ombud

Jämför med rutinen Övertagande av SITHS-kort som bör användas om personen redan har uppdrag hos utförare i Uppsala kommun

Webmail instruktioner

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

DNSSec. Garanterar ett säkert internet

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

SUNET TCS. TREFpunkt 21. Kent Engström.

SITHS. Kontakt: E-post: Webbsida:

Information för användare av e-tjänstekort och HSA-ID

Checklista för tekniskt ansvarig

Hämta nytt certifikat

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Det är inte kompletta rutinbeskrivningar som ovan utan fokus i dessa beskrivningar ligger på själva ifyllandet av formulären.

Transkript:

Ändringar i utfärdande av HCC Funktion

Varför? I WebTrust-revisionen har SITHS fått följande anmärkningar som måste åtgärdas om vi ska följa det globala regelverket: Efter 2017-01-01 får inga giltiga certifikat använda HASHalgoritmen SHA-1 på grund av risken för kollisioner. Risken innebär att två olika certifikat kan se likadana ut elektroniskt Detta skulle kunna utnyttjas för att tillverka ett förfalskat certifikat Sannolikheten för att risken inträffar ökar i och med att datorer blir allt kraftfullare och lättare kan räkna ut dessa kollisioner. Endast mottagaren av certifikatet ska hantera den privata nyckeln. PKCS#12 bör inte användas längre

Vad? Nedstängning av SITHS Type 2 CA v1, då den: Utfärdar certifikat med SHA-1 Tillåter PKCS#12

Konsekvenser av att SITHS Type 2 CA v1 tas bort SHA-1 ersätts med SHA-512 PKCS#12 upphör endast PKCS#10 blir kvar Skillnader och likheter mellan PKCS#10 och PKCS#12

Vad är ett certifikat?

Ett certifikat består av två delar En publik del med information om innehavaren Innehåller också en publik nyckel En privat del som består av den privata nyckeln. Vilken endast innehavaren av certifikatet ska känna till. Attribut Serienummer Subjekt/Certifikatobjekt Publik Nyckel Utfärdare Giltig från Giltig till Med mera Slumpmässigt unikt värde Namn, HSA-id, e-post etc Matematiskt beräknad sträng SITHS Type 2 CA v1 Ex. 2013-01-01 Ex. 2017-12-01 UPN, e-post etc.

Identifiering med certifikat Tjänsten och nyckelinnehavaren utbyter sina publika nycklar Tjänsten krypterar information med innehavarens publika nyckel och skickar tillbaka till innehavaren Innehavaren dekrypterar informationen med hjälp av sin privata nyckel Innehavaren krypterar informationen med tjänstens publika nyckel och skickar tillbaka till tjänsten som dekrypterar den.?????? Hemligt Hemligt?????? Hemligt

Skillnader och likheter mellan PKCS#10 och PKCS#12

PKCS#12 - Distribution PKCS#12 kan ses som en zip-fil innehållande: Den privata nyckeln Certifikatet med den publika nyckeln Nackdelen är att den privata nyckeln hanteras av andra personer än den som förvaltar systemet den ska till: Skapas av CA:n Skickas till xra Skickas till Systemförvaltare RA/ORA SITHS CA Installeras på server Systemförvaltare

Vad är en CSR-fil En CSR-fil kan ses som en undertecknad beställning/förstadie av ett certifikat. CSR-filen innehåller samma publika nyckel som sedan används i certifikatet För att beräkna den publika nyckeln måste man använda den privata nyckeln CA:n tar den publika nyckeln från CSR-filen och skapar ett certifikat. Den publika nyckel som används i ett Certifikat passar alltså bara ihop med just den CSR-fil och privata nyckel som skapades i samband med beställningen CSR skapas mha. privat nyckel CSR skickas via xra till CA CSR En publik nyckel hänger matematisk ihop med en privat nyckel. CA skapar certifkatet med samma publika nyckel

PKCS#10 - Distribution PKCS#10 är en standard för hur begäran om att signera ett certifikat (CSR-fil) ska se ut. Nyckelinnehavaren skapar en privat nyckel och en CSR inklusive publik nyckel CSR ges till xra xra skickar publik nyckel till CA CA signerar certifikatet inklusive den publika nyckeln xra skickar tillbaka certifikatet till nyckelinnehavaren CSR RA/ORA CSR SITHS CA Installeras på server Systemförvaltare CSR

Skillnader mellan PKCS#10 och #12 P10 och P12 är olika beställningsmetoder inte olika typer av certifikat. P10 SITHS Admin skapar bara certifikatet baserat på den CSR-fil organisationen laddar upp. Den privata nyckeln behöver aldrig lämna den egna organisationen. P12 SITHS Admin skapar den privata nyckeln och paketerar den tillsammans med certifikatet. P10 har ingen säkerhetskod som skickas med krypterad e-post P10 Ansvaret för den privata nyckeln hamnar helt hos beställare/nyckelinnehavare P10 Beställaren har själv möjlighet att packa ihop certifikat och privat nyckel till PKCS#12/PFX eller annat format vid flytt.

Likheter mellan PKCS#10 och #12 Certifikatet och dess struktur är i sig likadant Pga. att vi stänger av Type 2 ändras dock: Utfärdaren till Type 3 HASH-algoritmen från SHA-1 till SHA-512 Det är fortfarande HSA-katalogen som bestämmer innehållet i certifikatets subjekt Andra exempel då SITHS använder PKCS#10 Då SITHS-kort skapas skickas en CSR enligt PKCS#10 från Gemalto till SITHS CA. Detta eftersom den privata nyckeln ligger på kortet och är skyddad av pin-koderna

Hur ser en PKCS#12 fil ut Privat nyckel Certifikat Publik nyckel

Ändrad rutin för domänvalidering

Varför? I WebTrust-revisionen har SITHS fått följande anmärkningar som måste åtgärdas om vi ska följa det globala regelverket: Vi får inte lita på inskickat material vid domänvalidering, ex. fakturaunderlag, utdrag från IIS och delegationsordning Domänvalidering måste göras enligt någon av de i WebTrust-regelverket godkända metoderna. E-postadress som skrivs i certifikatet måste kontrolleras Vi måste validera landskoden som skrivs i certifikatet Vi måste ha möjlighet att svartlista domännamn Övriga ändringar Avregistrering av validerade domännamn Om det går att lägga till bör det gå att ta bort.

Vad? Förändrad domänvalideringsrutin Blanketterna: Fullmakt och Anmälan uppdateras för att stämma med ändringarna i rutinen.

Förändrad domänvalideringsrutin Ni skickar bara in blanketten, Anmälan om domän- och e-postvalidering Validering utförs genom motringning eller mail för att kontrollera att ägaren av domännamn/e-postadress godkänner att SITHScertifikat får utfärdas. Om domännamnet ägs av annan organisation skickar ni fortfarande in en fullmakt från organisationen. Validering utförs genom motringning till företagsväxeln för den organisation som äger domännamnet. Vi kommer be att få tala med den som skrivit under fullmakten.

En rad per typ av validering Både anmälningsblankett och fullmakt uppdateras med egna rader för validering av typerna Generellt domännamn (alla subdomäner till ex. inera.se www.inera.se, mail.inera.se, test.inera.se etc.) Specifikt domännamn (specifika subdomäner till ex. inera.se bara www.inera.se och hsa.inera.se) Specifik e-postadress (specifika e-postadresser till ex. siths@inera.se och sithspolicyauthority@inera.se)

Validering av e-post Blanketten Anmälan om domän och e-postvalidering innehåller nu också fält för e-post. Om ni använder funktionscertifikat för att skicka signerade mail från exempelvis funktionsbrevlådor måste e-postadressen valideras. Validering görs genom att ett mail skickas till e-postadressen i fråga och vi förväntar oss ett svar på frågan i det mailet.

Validering av land Valideringen görs genom kontroll av att organisationen som äger domännamnet är registrerat i Sverige.

Spärr av domännamn Det finns nu ett formulär kallat Spärr av domännamn på www.inera.se under Regler, rutiner, processer Här kan en organisation ansöka om att SITHS-certifikat inte ska få utfärdas på ett domännamn som de äger Validering av ägarskap kommer att utföras på samma sätt (e-post eller motringning) som när ett tillägg av domännamn görs. Leder också till avregistrering av validering och spärr av eventuella utgivna certifikat för spärrade domännamn.

Avregistrering av validering Tillägg av möjlighet att avregistrera domänvalideringar Medför att samtliga utfärdade certifikat för domännamnen revokeras om de utfärdats av den organisation där domänvalideringen avregistreras. Fullmakt

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss