TERVETULOA TELIAN TIETOTURVAPALVELUIDEN TUKISIVUILLE

Telia tarjoaa varmennepalveluja seuraavissa maissa:

Ruotsi

Suomi

Norja

Viro

Liettua

Tanska

ASIAKASPALVELU:

0200 20 300

VARMENNEPALVELUN TUKI:

TIEDOTTEET

--

Tietoa muutoksista globaalissa PKI-järjestelmässä sekä Telia Certificate Authorityssä

1. TLS-varmenteiden voimassaoloaika, domain-validoinnin uudelleenkäytön aika ja identiteetin validoinnin uudelleenkäytön aika lyhenevät vaiheittain kolmessa osassa.
2. Telia CA:n TLS-varmenteiden laskutus muuttuu päivälaskutusmalliin.
3. ClientAuth-bitti kielletään julkisista TLS-sertifikaateista.
4. Telia CA ottaa käyttöön uusia myöntäviä CA:ta TLS-sertifikaateille (sekä OV että DV).
5. Telia CA:n uusi PKI-hierarkia: root CA:t “v3” kaikille varmennekäyttötarkoituksille.
6. Telia CA ACME tukee Account Renewal Information (ACME ARI) -toiminnallisuutta.
7. Uudet pysyvät domainin hallinnan validointimenetelmät DNS-nimille ja IP-osoitteille.
8. TLS-varmenteiden hallinnan automatisointi Telia CA:n avulla.

1. TLS-varmenteiden voimassaoloaika, domain-validoinnin uudelleenkäytön aika ja identiteetin validoinnin uudelleenkäytön aika lyhenevät vaiheittain kolmessa osassa

CA/Browser Forumin TLS-varmenteiden perusvaatimukset lyhentävät julkisesti luotettujen TLS-varmenteiden sekä niihin liittyvien verkkotunnusten validointien ja yritystietojen voimassaoloaikaa.

Aikataulu lyhennyksille on seuraava:

Ajankohta	Nyt	03/2026	03/2027	03/2029
Varmenteen voimassaolo	398 pv	200 pv (6 kk)	100 pv (3 kk)	47 pv (1 kk)
Verkkotunnuksen voimassaolo	398 pv	200 pv (6 kk)	100 pv (3 kk)	10 pv
Organisaation voimassaolo	825 pv	398 pv	398 pv	398 pv

Telia CA käyttää muutamaa päivää lyhyempiä voimassaoloaikoja ja tietojen uudelleenkäyttöaikoja varmistaakseen, että uusimiset tapahtuvat ajoissa enimmäisvoimassaoloaikojen puitteissa.

Muutos varmenteiden voimassaoloajoissa on merkittävä ja koskee kaikkia TLS-varmenteiden myöntäjiä maailmanlaajuisesti samalla tavalla. Tavoitteena on parantaa Internetin tietoturvaa. Samalla kannustetaan siirtymään automaatioon (esim. ACME).

Vaihtoehtoisesti Telia CA suosittelee harkitsemaan siirtymistä Private PKI -ratkaisuun tilanteissa, joissa julkisesti luotettuja TLS-varmenteita ei tarvita. Private PKI -varmenteilla voi olla pidempi voimassaoloaika, eikä niihin sovelleta Domain Control Validation- tai Subject Identity Validation -vaatimuksia. Tämä tarjoaa enemmän joustavuutta, mutta säilyttää TLS-käyttötapauksissa tarvittavan tietoturvan.

Telia CA tarjoaa hallinnoidun Private PKI -palvelun, jossa asiakkaat voivat ylläpitää PKI:tä turvallisesti Telian auditoidussa infrastruktuurissa ja hyödyntää Private PKI:n joustavuutta sisäiseen TLS-suojaukseen. Private PKI -ratkaisussa luottamus täytyy jakaa organisaation sisäisessä infrastruktuurissa, mutta kun se on jaettu, se toimii kuten julkisesti luotettu TLS PKI käyttöjärjestelmien ja/tai selainten kautta.

Tapauksissa, joissa julkisesti luotettuja TLS-varmenteita tarvitaan, Telia CA tarjoaa uusia CA/Browser Forumin sallimia verkkotunnuksen validointimenetelmiä lieventääkseen lyhentyvien voimassaoloaikojen vaikutuksia. Lisätietoja on saatavilla alla.

Organisaation tietojen (O/L) voimassaolon lyhentymisen vaikutus on vähäinen Telia CA:n automatisoitujen prosessien ansiosta. Telia päivittää O/L-arvot asiakkaan puolesta.

2. Telia CA:n TLS-varmenteiden laskutus muuttuu päivälaskutusmalliin

Telia lopettaa ennaltamaksettujen TLS-varmenteiden tarjoamisen ja siirtyy päivälaskutusmalliin. Uusi käytön mukaan laskutettava malli on joustava ja perustuu seuraaviin periaatteisiin:

• Aktiivisissa TLS-varmenteissa käytetyt yksilölliset DNS SAN-nimet tai DNS IP-osoitteet lasketaan päivittäin.
• Jokaisella wildcard-nimellä, täysin määritellyllä verkkotunnuksella ja IP-osoitteella on päivähinta, joka on lähellä nykyisen vuosihinnan arvoa jaettuna 365:llä.
• Aktiivisten yksilöllisten SAN-nimien yhteenlaskettua määrää käytetään Telian asiakaslaskutuksessa kuukausittain.
• Asiakkaita laskutetaan Telian määrittämin välein. Laskutusraportit sisältävät kaikki yksilölliset SAN-nimet tarkistusta varten. Varsinainen lasku sisältää vain päivittäisten määrien summan ja osittaiset tiedot. Käytön mukaan laskutettavalla mallilla on monia etuja verrattuna ennakkomaksumalliin:
• Vain yksilölliset SAN-nimet lasketaan. Kaikki SAN-nimien kopiot ovat maksuttomia.
• Varmenteita voidaan vaihtaa milloin tahansa ilman lisäkustannuksia. Veloitus perustuu vain käytettyihin päiviin.
• Kuukauden lopussa kaikki päivittäiset SAN-määrät lasketaan yhteen kuukausilaskua varten, joka toimitetaan maksettavaksi tavalliseen tapaan Telian laskutuksen kautta.
• Varmenteen mitätöinti lopettaa veloituksen välittömästi.
• Kun aiempi varmenne uusitaan, sen jäljellä olevia päiviä ei menetetä

Esimerkki: Jos luot wildcard-varmenteen kalenterivuoden ensimmäisenä päivänä, vuoden lopussa se on tuottanut laskua 365 * päivähinta, mikä on suunnilleen sama hinta kuin perinteisessä ennakkomaksumallissa. Jos luot wildcard-kopion vuoden aikana, sillä ei ole vaikutusta hinnoitteluun.

3. ClientAuth-bitti kielletään julkisista TLS-sertifikaateista.

Aiemmin kaikissa TLS-varmenteissa oli kaksi Extended Key Usage (EKU) -bittiä: serverAuth ja clientAuth. Uusissa Telia v4:n myöntämissä TLS-varmenteissa on vain serverAuth-bitti. Tämä tarkoittaa, että samalla varmenteella ei voida enää suojata sekä asiakasta että palvelinta. Kaksisuuntainen todennus vaatii, että erillinen client-varmenne konfiguroidaan palvelimelle. Pyydettäessä Telia lisää asiakkaan TLS-valikkoon client-bitillisen TLS-varmennelajin nimeltään "OV with client-bit but without Chrome-trust". Tämä laji on luotettu kaikissa muissa root-ohjelmissa paitsi myöhemmin Chromessa, josta se poistuu vuoden 2027 aikana.

Telia CA toi Certificate Manager -portaaliin valittavaksi uuden varmennetyypin (ClientAuth). ClientAuth-varmennetyyppi tukee kaksisuuntaista todennusta, mutta ei ole validi palvelinvarmenne. ClientAuth-varmenne on voimassa kolme vuotta.

4. Telia CA ottaa käyttöön uusia myöntäviä CA:ta TLS-sertifikaateille (sekä OV että DV)

Telia siirtyy uuteen varmenteita myöntävään CA-sukupolveen v4. Uusi sukupolvi on tarpeen CA/Browser Forumin uusimpien vaatimusten täyttämiseksi (monikäyttöiset juurivarmenteet eivät ole enää sallittuja ja TLS-varmenteet eivät voi sisältää “clientAuth”-bittiä). V3-sukupolvi on saatavilla samanaikaisesti uuden v4-sukupolven kanssa 2026-03-02 asti.

Uudessa v4-sukupolvessa on kaksi olennaista muutosta:

1. EKU-bitti clientAuth poistetaan TLS-varmenteesta
2. CA-hierarkia muuttuu. Asiakkaiden on asennettava uusi kolmitasoinen CA-hierarkia, kun uusia varmenteita asennetaan palvelimille.

Aluksi uusi hierarkia perustuu vanhaan juureen Telia Root CA v2, mutta myöhemmin (arviolta vuonna 2028), kun uusi Telia-juuri on hyväksytty kaikissa root-ohjelmissa, hierarkian juuri päivitetään muotoon Telia RSA Root CA v3.

5. Telia CA:n uusi PKI-hierarkia: Root CA:t v3 kaikille varmennekäyttötarkoituksille

Telia siirtyy uuteen juurivarmenteiden sukupolveen v3. Uusi sukupolvi tarvitaan CA/Browser Forumin uusimpien vaatimusten täyttämiseksi (monikäyttöiset juurivarmenteet eivät ole enää sallittuja). v3-juurisukupolvi on saatavilla samanaikaisesti nykyisen v2-juurisukupolven kanssa useiden vuosien ajan. Lopulta kun selaimet sitä edellyttävät, vain v3-juurisukupolvi on käytettävissä.

Huom! Chrome/Google on julkaissut uudet suunnitelmansa, jotka edellyttävät CA-hierarkioiden päivittämistä vuoden välein.. => CA-asiakkaiden on sopeuduttava päivittämään CA-hierarkiat kaikkien uusien varmenteiden osalta. ACME hoitaa tämän automaattisesti. Lisäksi juurivarmenteiden elinkaari tulee olemaan jatkossa huomattavasti lyhyempi.

6. Telia CA ACME tukee Account Renewal Information (ACME ARI) -toiminnallisuutta

ARI:n avulla ACME-palvelin (CA) voi antaa ACME-asiakkaille ehdotuksia varmenteen uusimisikkunasta. CA saattaa tarvita tätä vaihtoehtoa, jos uusissa varmenteissa havaitaan haavoittuvuuksia ja varmenne on uusittava nopeammin kuin ACME-asiakas on alun perin määrittänyt.

Asiakkaita suositellaan käyttämään ACME-client-ohjelmia, jotka tukevat ARI-toiminnallisuutta.

7. Uudet pysyvät verkkotunnuksen hallinnan validointimenetelmät DNS-nimille ja IP-osoitteille

Telia ottaa käyttöön uudet pysyvät verkkotunnuksen ja IP-osoitteen validointimenetelmät vuoden 2026 ensimmäisellä neljänneksellä. Uusien menetelmien avulla asiakkaat voivat antaa Telia CA:lle valtuuden käyttää automatisoituja verkkotunnuksen hallinnan validointeja pysyvien tietueiden avulla nimipalvelujärjestelmässä (DNS). Valtuutus määritetään lisäämällä tietty DNS TXT -tietue verkkotunnukseen. Valtuutustasot ovat verkkotunnuksen omistajien hallinnassa ja ne voidaan asettaa erikseen eri verkkotunnushierarkian tasoille vain tietyille yksiköille (yritysryhmä, yritys, portaaliryhmä, portaalikäyttäjä, ACME-käyttäjä).

Pysyvät verkkotunnuksen hallinnan validointimenetelmät helpottavat haasteita, jotka liittyvät verkkotunnuksen voimassaolon lyhenemiseen nykyisiin menetelmiin verrattuna. Siirtyminen pysyviin menetelmiin poistaa tarpeen päivittää DNS-tietueita CA:n tarjoamilla satunnaisilla koodeilla. Pysyvä valtuutus on voimassa, kunnes se poistetaan verkkotunnuksesta. Asiakas / verkkotunnuksen omistaja hallitsee täysin, miten verkkotunnukset valtuutetaan, ja jokainen verkkotunnus sekä CA on valtuutettava erikseen. Uuden menetelmän tietoturva on vastaava kuin muissa DNS-pohjaisissa menetelmissä. Lisätietoja ja ohjeita annetaan, kun uudet menetelmät otetaan käyttöön Telia CA:n toimesta vuoden 2026 ensimmäisellä neljänneksellä.

8. TLS-varmenteiden hallinnan automatisointi Telia CA:n avulla

Telia CA:n Automated Certificate Management Environment (ACME) -palvelua voidaan käyttää varmenteiden elinkaaren hallinnan automatisointiin. ACME:ssa asiakkaalla on ACME-asiakasohjelma, joka on määritetty kommunikoimaan CA:n ACME-palvelimen kanssa. Kaikilla Telian Certificate Management Portal -asiakkailla on ACME käytettävissä, ja ACME-tunnisteet voidaan määrittää ilman erillisiä pyyntöjä tai lisäkustannuksia.

Oikein konfiguroitu ACME-asiakasohjelma huolehtii palvelinvarmenteen automaattisesta ylläpidosta ilman manuaalista päivitystä. Mitä tahansa ACME-asiakasohjelma, joka tukee External Account Binding (EAB) -toiminnallisuutta, voidaan käyttää Telia CA:n ACME-palvelun kanssa. Esimerkkejä ovat Certbot, Lego ja Win-ACME.

Telian ACME-palvelun pääominaisuudet:

• Tuki sekä DV- että OV-varmenteille
• Hallinnoidun PKI:n varmenteet voidaan rekisteröidä ACME:n avulla (Telia CA isännöi asiakkaan CA:ta)
• ACMEa voidaan käyttää esivalidoitujen verkkotunnusten kanssa, joita hallitaan Telian Certificate Management Portalissa. ACME-tunnisteet voidaan määrittää käyttämään esivalidoituja verkkotunnuksia, jolloin erillistä HTTP-01- tai DNS-01-validointia ei tarvita
• ACME otetaan käyttöön tulevien pysyvien verkkotunnusvalidointimenetelmien kanssa
• ACME-validointimenetelmät DNS-01 ja HTTP-01 ovat myös käytettävissä
• 2026-03-02: Vanhat ACME-tunnukset, jotka luovat v3-varmenteita, päivitetään Telian toimesta luomaan v4-varmenteita uudesta v4-juurivarmennehierarkiasta

---T---