2022-04-13 Mutual-TLS införande SDK

2022-04-13 Mutual-TLS införande SDK

För kännedom!

För att ytterligare förstärka säkerheten i transportinfrastrukturen inom Plattform för eDelivery och SDK federationen har Inera tillsammans med DIGG beslutat att tillämpa mutual-TLS mellan AP-operatörers Accesspunkter samt att förtydliga kravet på TLS certifikat. (Detta avser ej AS4- certifikatet som utfärdas av DIGG eller O2O-certifikatet som kan utfärdas av Inera)

Detta innebär kommande förändringar i SDKs ’Regelverk för anslutning till Säker digital kommunikation – Informationssäkerhet’ och krav på transportkryptering - Tillämpning av TLS i SDKs IT-säkerhetsbilaga samt ev. i SDK självdeklaration.

Förändringen berör eDelivery transportinfrastruktur – skydd mellan accesspunkter och innebär konkret att:

• SITHS ska tillsvidare användas som certifikatsutgivare (CA) av TLS-certifikat i SDK.

• Accesspunktsfunktioner som agerar i eDelivery transportinfrastruktur ska använda ”two-way authentication” (mTLS).

• Detta gäller både i test- och produktionsmiljöer för SDK.

För en användarorganisation som är på väg att eller har börjat ansluta till SDK innebär detta följande:

• Användarorganisationens AP-operatör behöver anskaffa ett SITHS funktionscertifikat för TLS transportkryptering mellan accesspunkter.

• TLS-certifikatet för SDK testbädd (QA): beställs via SITHS ombud för regioner och via Inera.se för kommuner, myndigheter och tjänsteleverantörer - https://etjanster.inera.se/oversikt/flow/1921

• TLS-certifikat för SDK PROD: Beställs via eget SITHS ombud för kommuner och regioner och Inera.se för myndigheter och tjänsteleverantörer.

• Vid behov kan mer information om ombud m.m fås från SDK förvaltningen via Inera Kundservice: https://etjanster.inera.se/oversikt/flow/2894

• 3 maj 2022 kommer Inera preliminärt uppdatera SDK Testbädd (QA) och SDK Öppen testmiljö för tjänsteleverantörer att endast acceptera SITHS CA och att tillämpa mTLS som autentiseringsmetod.

• DIGG återkommer med datum men preliminärt datum är 3/5 för när DIGGs testramverk som används för plattformsgodkännande av AP-operatörer uppdateras att endast acceptera SITHS CA och tillämpa mTLS som autentiseringsmetod.

• Vi ber er att avvakta med att skicka in självdeklarationen tills vi har hunnit se över mallen.

Redan anslutna användarorganisationer i testbädd behöver inte skicka in SDK Anslutningsblankett på nytt men behöver säkerställa att användarorganisationens AP-operatör beställer ett SITHS certifikat och anpassar accesspunktens anslutning till det nya regelverket.