2022-04-13 Mutual-TLS införande SDK
2022-04-13 Mutual-TLS införande SDK
För kännedom!
För att ytterligare förstärka säkerheten i transportinfrastrukturen inom Plattform för eDelivery och SDK federationen har Inera tillsammans med DIGG beslutat att tillämpa mutual-TLS mellan AP-operatörers Accesspunkter samt att förtydliga kravet på TLS certifikat. (Detta avser ej AS4- certifikatet som utfärdas av DIGG eller O2O-certifikatet som kan utfärdas av Inera)
Detta innebär kommande förändringar i SDKs ’Regelverk för anslutning till Säker digital kommunikation – Informationssäkerhet’ och krav på transportkryptering - Tillämpning av TLS i SDKs IT-säkerhetsbilaga samt ev. i SDK självdeklaration.
Förändringen berör eDelivery transportinfrastruktur – skydd mellan accesspunkter och innebär konkret att:
SITHS ska tillsvidare användas som certifikatsutgivare (CA) av TLS-certifikat i SDK.
Accesspunktsfunktioner som agerar i eDelivery transportinfrastruktur ska använda ”two-way authentication” (mTLS).
Detta gäller både i test- och produktionsmiljöer för SDK.
För en användarorganisation som är på väg att eller har börjat ansluta till SDK innebär detta följande:
Användarorganisationens AP-operatör behöver anskaffa ett SITHS funktionscertifikat för TLS transportkryptering mellan accesspunkter.
TLS-certifikatet för SDK testbädd (QA): beställs via SITHS ombud för regioner och via Inera.se för kommuner, myndigheter och tjänsteleverantörer - https://etjanster.inera.se/oversikt/flow/1921
TLS-certifikat för SDK PROD: Beställs via eget SITHS ombud för kommuner och regioner och Inera.se för myndigheter och tjänsteleverantörer.
Vid behov kan mer information om ombud m.m fås från SDK förvaltningen via Inera Kundservice: https://etjanster.inera.se/oversikt/flow/2894
3 maj 2022 kommer Inera preliminärt uppdatera SDK Testbädd (QA) och SDK Öppen testmiljö för tjänsteleverantörer att endast acceptera SITHS CA och att tillämpa mTLS som autentiseringsmetod.
DIGG återkommer med datum men preliminärt datum är 3/5 för när DIGGs testramverk som används för plattformsgodkännande av AP-operatörer uppdateras att endast acceptera SITHS CA och tillämpa mTLS som autentiseringsmetod.
Vi ber er att avvakta med att skicka in självdeklarationen tills vi har hunnit se över mallen.
Redan anslutna användarorganisationer i testbädd behöver inte skicka in SDK Anslutningsblankett på nytt men behöver säkerställa att användarorganisationens AP-operatör beställer ett SITHS certifikat och anpassar accesspunktens anslutning till det nya regelverket.