VÄLKOMMEN TILL TELIA CERTIFIKATPORTALEN



TELIA CERTIFIKATTJÄNST

--

Telia förser den nordiska och baltiska marknaden med SSL-certifikat från Sverige och i Finland. På den svenska marknaden ansvarar Cygate AB för tjänsten. Vår ambition är tillhanda bra priser och snabba leveranser. Telia certifikat utfärdas till följande länder:

SverigeFinlandNorgeEstlandLitauenDanmark

NYHETER:



Information om ändringar och nya funktioner i Telia Certificate Authoritys globala PKI:

  1. Giltighetstiden för TLS-certifikat samt återanvändning av domän- och identitetsvalidering kommer att förkortas stegvis i tre faser
  2. Telia CA:s fakturering för TLS-certifikat ändras till en flexibel pay-per-use-modell.
  3. ClientAuth-biten kommer att tas bort från TLS-certifikat.
  4. Telia CA inför nya utfärdande CA:er för TLS-certifikat (både OV och DV).
  5. Telia CA:s nya PKI-hierarki med root CA:er v3 för alla certifikatanvändningar.
  6. Telia CA:s ACME stöder Account Renewal Information (ACME ARI).
  7. Telia CA:s portalgränssnitt (GUI) har uppdaterats.
  8. Nya beständiga metoder för domänkontrollvalidering för DNS-namn och IP-adresser.
  9. Automatisera hanteringen av TLS-certifikat med Telia CA.

1. Förkortade giltighetstider

CA/Browser Forums grundkrav för TLS-certifikat kommer att förkorta giltighetstiden för publikt betrodda TLS-certifikat samt deras associerade domänvalideringar och företagsinformation.

Tidsplanen för förkortningen är som följer:

Nu 03/2026 03/2027 03/2029
Certifikatets giltighet 398d 200d (6m) 100d (3m) 47d (1m)
Domänvalidering 398d 200d (6m) 100d (3m) 10d
Organisationsvalidering 825d 398d 398d 398d

Telia CA använder några dagar kortare giltighet för att säkerställa förnyelser i tid.

Förändringen är global och gäller alla utfärdare för att öka internetsäkerheten samtidigt som automatisering rekommenderas starkt (t.ex. ACME).

Telia CA uppmuntrar att överväga privat PKI i de fall där publikt betrodda TLS-certifikat inte krävs. Privata PKI-certifikat kan ha längre giltighetstider och omfattas inte av domänkontrollvalidering eller identitetsvalidering, vilket ger större flexibilitet men bibehåller säkerheten för TLS.

Telia CA tillhandahåller Managed / Private PKI-tjänster där kunder kan ha sin PKI säkert hostad i Telias granskade infrastruktur, men samtidigt dra nytta av flexibiliteten som privat PKI erbjuder för internt TLS-skydd.

2. Pay-per-use-modell” för fakturering

Telia upphör med att erbjuda förbetalda TLS-certifikat. Den nya pay-per-use-modellen är flexibel och baseras på följande principer:

  • Unika dnsSAN-namn eller dnsIPAddresses som används i aktiva TLS-certifikat beräknas dagligen.
  • Wildcard-namn, fullständigt domännamn (FQDN) och IPAddress har en daglig kostnad som motsvarar nuvarande årspris/365.
  • Summeringen av aktiva unika SAN används för Telias kundfakturering månadsvis.
  • Fakturarapporter tillhandahåller detaljer om alla unika SAN för verifiering.

Fördelar med pay-per-use-modellen::

  • Endast unika SAN-namn beräknas. Alla kopior är kostnadsfria.
  • Certifikat kan ändras när som helst utan extra kostnad. Endast använda dagar debiteras.
  • I slutet av månaden summeras alla dagliga SAN-antal för att skapa en månadsfaktura som skickas för betalning via Telias vanliga faktureringssystem.
  • Genom att återkalla/revokera ett certifikat avslutas debiteringen omedelbart.
  • Vid förnyelse av tidigare certifikat förloras inte de återstående dagarna.

Exempel: Om du skapar ett wildcard-certifikat den första dagen på året, kommer det vid årets slut att ha genererat kostnader motsvarande 365 × dagspriset, vilket ungefär motsvarar den tidigare förbetalda modellen. Om du skapar en kopia av wildcard-certifikatet under året påverkar det inte priset.

3. ClientAuth-bit tas bort

Tidigare innehöll alla TLS-certifikat två EKU-bitar: serverAuth och clientAuth. Nya TLS-certifikat under Telia v4 CA har endast serverAuth. Detta innebär att samma servercertifikat inte längre kan användas för mutual TLS. Om mutual TLS behövs måste ett separat clientAuth-certifikat konfigureras.

För att underlätta för kunder att beställa clientAuth-certifikat i Certificate Manager Portalen introducerar Telia CA en ny certifikattyp i menyn för servercertifikat (“ClientAuth”). Denna certifikattyp stöder mutual TLS för klientautentisering men är inte ett giltigt servercertifikat. ClientAuth-certifikat kommer att vara giltiga i tre år.

4. Nya CA-hierarkier för TLS-certifikat (både OV & DV)

Telia migrerar till nya utfärdande CA-generationen “v4” för att uppfylla senaste krav från CA/Browser Forum (multipurpose roots är inte längre tillåtna, TLS-certifikat får inte innehålla biten “clientAuth”).

Den nya generationen är tillgänglig parallellt med nuvarande v3-generation åtminstone till våren 2026.

Två viktiga förändringar i v4-generationen:

  • EKU-bit “clientAuth” tas bort från TLS-certifikat.
  • Ny CA-hierarki införs. Kunder måste installera en ny 3-nivåhierarki när nya certifikat installeras. Till en början baseras den nya hierarkin på den gamla root “Telia Root CA v2”, men cirka 2028, när den nya Telia-rooten är godkänd av alla root-program, uppdateras hierarkin till “Telia RSA/EC Root CA v3”.

5. Telia CA:s nya root CAs v3

Telia migrerar till en ny root CA-generation “v3” för att uppfylla senaste krav från CA/Browser Forum (multipurpose roots är inte längre tillåtna).

Root v3-generationen är tillgänglig parallellt med nuvarande root v2-generation i flera år. När webbläsare kräver det kommer endast root v3 att användas.

Observera: Chrome/Google har publicerat nya planer som kräver att CA-hierarkier uppdateras var sjätte månad. → Kunder måste anpassa sig till att uppdatera CA-hierarkier för alla nya certifikat. ACME hanterar detta automatiskt. Livscykeln för Root CA kommer att bli betydligt kortare i framtiden.

6. ACME och ARI

Telia CA:s ACME stöder Account Renewal Information (ARI). Med ARI kan ACME-servern (CA) ge förslag till ACME-klienter om föreslagna förnyelsefönster. Detta behövs om nya sårbarheter upptäcks och certifikat måste förnyas snabbare än ursprungligen planerat.

Kunder uppmuntras att använda ACME-klienter som stöder ARI.

7. Portalens GUI uppdateras

Telia förbättrar gränssnittet för certifikatportalen med ny design och menystruktur. Planerad lansering: 2025-12-15. Funktionaliteten är densamma, men utseendet, menystruktur och navigering förbättras.

8. Nya metoder för domänkontroll

Telia implementerar beständiga metoder för domän- och IP-validering under Q1 2026. De nya metoderna gör det möjligt att konfigurera auktorisering för Telia CA att använda automatiserad validering av domänkontroll med beständiga poster i DNS. Auktorisering konfigureras genom att lägga till specifika DNS TXT-poster i domänen.

Auktoriseringsnivåer styrs av domänägare och kan ställas in separat på olika nivåer i domänhierarkin (företagsgrupp, företag, portalgrupp, portalanvändare, ACME-användare). Beständiga metoder minskar behovet av att uppdatera DNS-poster med slumpmässiga koder från CA´n. Auktorisering gäller tills den tas bort av domänägaren. Säkerheten är likvärdig med andra DNS-baserade metoder.

9. Automatisera certifikathantering med ACME

Telia CA:s ACME-tjänst kan användas för att automatisera certifikatets livscykel. Alla kunder med Telia Certificate Management Portal har ACME tillgängligt utan extra kostnad.

Med korrekt konfiguration hanteras servercertifikat automatiskt utan manuell uppdatering. ACME-klienter som stöder EAB (External Account Binding) kan användas, exempelvis Certbot, Lego och Win-ACME.

Huvudfunktioner:

  • DV- och OV-certifikat är tillgängliga.
  • Managed PKI-certifikat kan registreras via ACME (kundens CA hostas av Telia CA).
  • ACME kan användas med förvaliderade domäner i portalen, vilket eliminerar behovet av HTTP-01 eller DNS-01 vid varje begäran.
  • ACME kommer att stödja de nya beständiga valideringsmetoderna.
  • Valideringsmetoderna DNS-01 och HTTP-01 är också tillgängliga.


Support

Kontakta oss

Ge oss feedback

Telia CA

SSL säkerhet

CP/CPS