V informačním systému datových schránek dojde k výměně SSL certifikátu, který zabezpečuje komunikaci s klientskými aplikacemi.
Ve veřejném testovacím prostředí ISDS došlo k výměně certifikátu dne 5.9.2017. V produkčním prostředí ISDS dojde k výměně později.
Nové SSL certifikáty jsou součástí jiného certifikačního řetězce, než který byl doposud používán. Tato změna má dopad na zákazníky, integrátory a vývojáře klientských aplikací, které komunikují s Informačním systémem datových schránek.
Do truststoru klientské aplikace je zapotřebí importovat certifikát nové kořenové certifikační autority „GeoTrust Primary Certification Authority - G3“, aby byl certifikát ISDS nadále považován za důvěryhodný. Tento certifikát stáhnete z následující webové stránky certifikační autority GeoTrust jako soubor „Geotrust_PCA_G3_Root.pem“:
https://www.geotrust.com/resources/root-certificates/index.html
Tato změna se netýká uživatelů, kteří přistupují pouze webovým prohlížečem do webového portálu ISDS.
133.1 Re: Výměna certifikátu
jiri.farsky@aipsafe.cz 22.09.2017 11:34Dobrý den,
je určen termín nasazení do produkčního prostředí?
Předem děkuji za odpověď.
Jiří Farský
133.1.1 Re: Re: Výměna certifikátu
602jsima 22.09.2017 11:43Dobrý den,
výměna proběhla již dnes v noci.
Jan Šíma
ISDS
133.2 Re: Výměna certifikátu
jirsakf@oksystem.cz 05.10.2017 06:50Dobrý den,
znamená to, že bez upozornění proběhla změna kořenového certifikátu na produkčním prostředí? A proběhla změna na všech serverech, nebo je možné, že některý server používá už nový certifikát a některý server ještě starý?
Můžeme se spolehnout na to, že server bude vždy posílat i mezilehlý certifikát (dnes „GeoTrust Extended Validation SHA256 SSL CA“) a mezi důvěryhodné certifikáty tedy zařadit jen kořenový certifikát „GeoTrust Primary Certification Authority - G3“?
Děkuji.
Filip Jirsák
133.2.1 Re: Re: Výměna certifikátu
602jsima 05.10.2017 07:29Dobrý den.
Výměna proběhla na všech serverech. Podoba certifikátu, termín jeho dodání a informování vývojářů není pod naší kontrolou.
Na informačním webu České pošty datoveschranky.info ta informace vyšla 6.9.2017, na veřejném testu ISDS byla výměna provedena již 5.9.2017. 7.9.2017 správce rozeslal všem zde registrovaným vývojářům aplikací (tedy zřejmě i Vám) tuto informaci emailem - takže nelze říct, že to bylo úplně bez upozornění.
Nicméně za komplikace se omlouváme.
Jan Šíma
ISDS
133.3 Re: Výměna certifikátu
jirsakf@oksystem.cz 05.10.2017 08:12Dobrý den,
děkuji za informaci. Chápu, že změnu certifikátu nemůžete ovlivnit.
Nicméně k informování musím podotknout, že ve všech uvedených informacích bylo uvedeno datum nasazení na testovací prostředí s dovětkem, že k nasazení na produkční prostředí dojde později. Takovou informaci chápu tak, že stejnými informačními kanály bude později rozeslána informace o termínu nasazení certifikátu i na produkční prostředí. V našem případě znamená přidání důvěryhodného certifikátu (byť krátkou) odstávku aplikace, kterou není možné provést ihned – ostatně i ISDS má plánované odstávky jednou za měsíc.
V tomto případě si s tím nějak poradíme, navíc komunikace s ISDS je vedlejší a málo používané funkce aplikace. Ale pokud můžete předat informaci lidem, kteří mají na starosti informování, uvítal bych, kdyby příště byl uveden přesný termín nejen pro testovací, ale i pro produkční prostředí, a informace byla zasílána s dostatečným předstihem – podobně, jako je to třeba v případě změn v rozhraní webových služeb.
Děkuji. S pozdravem
Filip Jirsák
133.3.1 Re: Re: Výměna certifikátu
602jsima 05.10.2017 08:25Dobrý den,
my ty problémy vývojářů velkých aplikací poměrně dobře chápeme a známe, jenže tentokrát byl nový certifikát dodán tak krátce před expirací starého, že nešlo čekat do plánované odstávky ISDS. Snad se z toho všichni do příště poučí.
Jan Šíma
ISDS
133.4 Re: Výměna certifikátu
jirsakf@oksystem.cz 05.10.2017 09:31Chápu, díky.