Chystané zkrácení platnosti serverových certifikátů

2024-09-04

Společnost Google, vyvíjející prohlížeč Chrome, oznámila, že hodlá přestat podporovat serverové certifikáty, jejichž platnost je delší, než 90 dnů.

Po uvedené změně bude nutné vydávání certifikátů automatizovat, protože jejich ruční obnova každé tři měsíce nebude pro většinu z vás schůdná. CESNET proto připravuje možnost vydávání prostřednictvím protokolu ACME, který je implementován balíčkem certbot dostupným ve všech běžných distribucích Linuxu i ve Windows. Tato možnost bude vašim uživatelům pravděpodobně dostupná koncem září.

Certifikáty vydané před změnou budou platit po celou dobu své životnosti. Výměnou stávajících serverových certifikátů za nové bude pravděpodobně možné získat více času na případné nasazení automatizace.

Další informace budeme zveřejňovat přůběžně, jak budou dostupné.

Plánovaná odstávka TCS portálu od 22. do 24. 9. 2023

2023-09-22

TCS portál CESNETu bude od 22.9. 14:00 do půlnoci 24. 9. 2023 mimo provoz kvůli údržbě.

Vydávání OSOBNÍCH A ROBOTOVÝCH TCS certifikátů obnoveno

2023-09-21

Vydávání osobních a robotových TCS certifikátů pro Univerzitu Karlovu obnoveno.

Pozastavení vydávání OSOBNÍCH A ROBOTOVÝCH TCS certifikátů od 28. 8. 2023

2023-08-17

Od 28. 8. 2023 bude pozastaveno vydávání osobních a robotových TCS certifikátů. Důvodem výpadku je přizpůsobení certifikační autority Sectigo a následně portálu TCS novým S/MIME standardům.

Jak dlouho bude výpadek služby trvat není zatím známo, ale může to být i až do konce září.

Toto se netýká serverových TCS certifikátů.

Pozastavení vydávání TCS certifikátů 19. - 23. 5. 2022

2022-05-06

V období 19. - 23. 5. 2022 nebude možné vydávat TCS certifikáty. Důvod výpadku je na straně Sectiga, našeho dodavatele certifikátů, který přechází na nové systémy.

Odstranění jednoho revokačního seznamu

2021-09-15

Dodavatel certifikátů TCS, společnost Sectigo, odstranil z DNS jednu ze dvou adres revokačních seznamů (CRL) uvedených v kořenovém certifikátu TCS. Ve drtivé většině případů není od vás potřeba žádná speciální akce.

V kořenovém certifikátu TCS (CN=AAA Certificate Services) jsou uvedeny tyto adresy CRL:

http://crl.comodoca.com/AAACertificateServices.crl

http://crl.comodo.net/AAACertificateServices.crl

Druhá adresa (crl.comodo.net) už nefunguje. V rámci přechodu na nový CDN byla Sectigem odstraněna z DNS. Pokud některý váš systém závisel pouze na této druhé adrese, stahujte, prosím, CRL z první adresy, tedy

http://crl.comodoca.com/AAACertificateServices.crl

Konec vydávání serverových certifikátů s dvouletou platností

2020-07-21

Přišla špatná zpráva:

Společnosti Google a Apple, diktující světu IT řadu standardů, se rozhodly, že od 1. 9. 2020 budou z jejich prohlížečů vyhozeny a za nedůvěryhodné považovány takové CA, které budou nabízet certifikáty s platností delší než 398 dnů.

Kvůli tomu se v rámci služby TCS přestanou 19. 8. 2020 vydávat serverové certifikáty s platností dva roky.

Výše uvedené se týká serverových certifikátů (ne osobních a dalších). Certifikáty s delší dobou platnosti vydané před 19. 8. 2020 revokovány nebudou.

Chyba při generování osobního certifikátu v MSIE

2020-07-20

Generování osobního TCS certifikátu v MSIE skončí chybou. Řeší se.

Obnovení služby

2020-07-10

Změna certfikační autority obnášela víc problémů, než se čekalo a výpadek služby byl delší. Od 26. června 2020 ale už je možné získat serverové certifikáty a od 10. července 2020 i osobní. Osobní certifikáty mají nově platnost 3 roky a je povolené mít v nich jen e-mailové adresy z domén, které vlastní Univerzita Karlova.

Nezapomeňte

Více informací na stránkách TCS CESNET.

Revokace EV certifikátů od DigiCertu k 11. 7. 2020

2020-07-10

EV certifikáty vydané DigiCertem pro Univerzitu Karlovu budou předčasně revokovány 11. července 2020.

1. května 2020 se změní certifikační autorita

2020-03-26

Od 1. května 2020 bude TCS certifikáty vydávat certifikační autorita Sectigo.

Co to přinese v praxi:

Více informací na stránkách TCS CESNET.

Doménové jméno nesmí obsahovat podtržítko

2018-10-03

Od 1. 10. 2018 DigiCert nevydává certifikáty pro doménová jména obsahující podtržítko.