Chystané zkrácení platnosti serverových certifikátů
2024-09-04
Společnost Google, vyvíjející prohlížeč Chrome, oznámila, že hodlá přestat podporovat serverové certifikáty, jejichž platnost je delší, než 90 dnů.
Po uvedené změně bude nutné vydávání certifikátů automatizovat, protože jejich ruční obnova každé tři měsíce nebude pro většinu z vás schůdná. CESNET proto připravuje možnost vydávání prostřednictvím protokolu ACME, který je implementován balíčkem certbot dostupným ve všech běžných distribucích Linuxu i ve Windows. Tato možnost bude vašim uživatelům pravděpodobně dostupná koncem září.
Certifikáty vydané před změnou budou platit po celou dobu své životnosti. Výměnou stávajících serverových certifikátů za nové bude pravděpodobně možné získat více času na případné nasazení automatizace.
Další informace budeme zveřejňovat přůběžně, jak budou dostupné.
Plánovaná odstávka TCS portálu od 22. do 24. 9. 2023
2023-09-22
TCS portál CESNETu bude od 22.9. 14:00 do půlnoci 24. 9. 2023 mimo provoz kvůli údržbě.
Vydávání OSOBNÍCH A ROBOTOVÝCH TCS certifikátů obnoveno
2023-09-21
Vydávání osobních a robotových TCS certifikátů pro Univerzitu Karlovu obnoveno.
Pozastavení vydávání OSOBNÍCH A ROBOTOVÝCH TCS certifikátů od 28. 8. 2023
2023-08-17
Od 28. 8. 2023 bude pozastaveno vydávání osobních a robotových TCS certifikátů. Důvodem výpadku je přizpůsobení certifikační autority Sectigo a následně portálu TCS novým S/MIME standardům.
Jak dlouho bude výpadek služby trvat není zatím známo, ale může to být i až do konce září.
Toto se netýká serverových TCS certifikátů.
Pozastavení vydávání TCS certifikátů 19. - 23. 5. 2022
2022-05-06
V období 19. - 23. 5. 2022 nebude možné vydávat TCS certifikáty. Důvod výpadku je na straně Sectiga, našeho dodavatele certifikátů, který přechází na nové systémy.
Odstranění jednoho revokačního seznamu
2021-09-15
Dodavatel certifikátů TCS, společnost Sectigo, odstranil z DNS jednu ze dvou adres revokačních seznamů (CRL) uvedených v kořenovém certifikátu TCS. Ve drtivé většině případů není od vás potřeba žádná speciální akce.
V kořenovém certifikátu TCS (CN=AAA Certificate Services) jsou uvedeny tyto adresy CRL:
http://crl.comodoca.com/AAACertificateServices.crl
http://crl.comodo.net/AAACertificateServices.crl
Druhá adresa (crl.comodo.net) už nefunguje. V rámci přechodu na nový CDN byla Sectigem odstraněna z DNS. Pokud některý váš systém závisel pouze na této druhé adrese, stahujte, prosím, CRL z první adresy, tedy
http://crl.comodoca.com/AAACertificateServices.crl
Konec vydávání serverových certifikátů s dvouletou platností
2020-07-21
Přišla špatná zpráva:
Společnosti Google a Apple, diktující světu IT řadu standardů, se rozhodly, že od 1. 9. 2020 budou z jejich prohlížečů vyhozeny a za nedůvěryhodné považovány takové CA, které budou nabízet certifikáty s platností delší než 398 dnů.
Kvůli tomu se v rámci služby TCS přestanou 19. 8. 2020 vydávat serverové certifikáty s platností dva roky.
Výše uvedené se týká serverových certifikátů (ne osobních a dalších). Certifikáty s delší dobou platnosti vydané před 19. 8. 2020 revokovány nebudou.
Chyba při generování osobního certifikátu v MSIE
2020-07-20
Generování osobního TCS certifikátu v MSIE skončí chybou. Řeší se.
Obnovení služby
2020-07-10
Změna certfikační autority obnášela víc problémů, než se čekalo a výpadek služby byl delší. Od 26. června 2020 ale už je možné získat serverové certifikáty a od 10. července 2020 i osobní. Osobní certifikáty mají nově platnost 3 roky a je povolené mít v nich jen e-mailové adresy z domén, které vlastní Univerzita Karlova.
Nezapomeňte
- přidat do domény CAA záznam pro Sectigo (nemusíte u cuni.cz subdomén, tam už je)
- v konfiguraci serveru změnit řetěz mezilehlých certifikátů - viz help
Více informací na stránkách TCS CESNET.
Revokace EV certifikátů od DigiCertu k 11. 7. 2020
2020-07-10
EV certifikáty vydané DigiCertem pro Univerzitu Karlovu budou předčasně revokovány 11. července 2020.
1. května 2020 se změní certifikační autorita
2020-03-26
Od 1. května 2020 bude TCS certifikáty vydávat certifikační autorita Sectigo.
Co to přinese v praxi:
- Začátkem května budou pravděpodobně vydávání certifikátů provázet technické a organizační problémy. Počítejte s tím a nenechávejte prolužování certifikátů na poslední chvíli.
- Při výměně stávajícího serverového certifikátu za nový (od Sectigo) bude nutné v konfiguraci změnit i certifikáty mezilehlé autority.
- Při výměně stávajícího certifikátu na eduroam radius serveru za nový (od Sectigo) by si uživatelé museli změnit konfiguraci svých zařízení (notebooků, telefonů…). Abychom se tomu vyhnuli, vyměňte certifikáty na radius serverech za nové do konce dubna 2020, aby byly od stejné certifikační autority (DigiCertu). Tím se problém odloží o 2 roky.
- Certifikáty vydané stávající certifikační autoritou DigiCert nebudou revokovány.
Více informací na stránkách TCS CESNET.
Doménové jméno nesmí obsahovat podtržítko
2018-10-03
Od 1. 10. 2018 DigiCert nevydává certifikáty pro doménová jména obsahující podtržítko.