OP förnyar sina certifikat – vi ber er säkerställa beredskapen i bankförbindelseprogrammet
OP kommer att förnya bankens testcertifikat i kanalen Web Services våren 2022 och produktionscertifikaten hösten 2022.
Certifikaten för de underordnade certifikatutfärdare som betjänar WS-kanalen (OP-Pohjola WS CA & OP-Pohjola Services CA) går ut 12.9.2024. I praktiken måste certifikatutfärdarcertifikaten förnyas senast 25.8.2022 för att certifikatutfärdarna ska kunna fortsätta bevilja kundcertifikat som är i kraft i två år. Rotcertifikatutfärdaren byts inte i samband med ändringen.
De certifikat som kunderna använder för att identifiera bankförbindelsen byts ut då de går ut enligt den normala cykeln under två år och de kräver inga särskilda åtgärder. Bankförbindelseprogrammen förnyar vanligtvis de här certifikaten automatiskt innan de går ut. De nya certifikaten görs tillgängliga för kunderna innan de tas i bruk.
De flesta bankförbindelseprogrammen konfigurerar en förtroendekedja för certifikat med hjälp av en rotcertifikatutfärdare. Vi ber er säkerställa att ert bankförbindelseprogram automatiskt kan beakta bytet av underordnade certifikatutfärdare eller att ni gör de ändringar som eventuellt behövs i det. OP kan vid behov assistera med att informera kunderna, eftersom vi kan identifiera vilket bankförbindelseprogram våra kunder använder och uppgifterna om dess version, om uppgifterna förmedlas i meddelandena.
Tidtabell
- De nya certifikatutfärdarcertifikaten för kundtestsystemen är tillgängliga från och med 21.1.2022 på adressen https://op.fi/varmennepalvelu
- De nya certifikatutfärdarna och bankens tjänstecertifikat tas i bruk i kundtestmiljön 24.2.2022.
- De nya certifikatutfärdarcertifikaten för produktionen är tillgängliga från och med 25.2.2022 på https://op.fi/varmennepalvelu
- I produktionen tas de nya certifikatutfärdarna och bankens tjänstecertifikat i bruk 25.8.2022.
Tekniska detaljer
De nya certifikatutfärdarcertifikaten delas ut på https://op.fi/varmennepalvelu. Alla slutanvändarcertifikat som beviljas har även tillägget ”Authority Information Access”, som visar den adress där certifikatutfärdarcertifikaten kan hämtas maskinellt. AIA-tjänsten är densamma som hos de gamla certifikatutfärdarna, och därför finns det inget behov för nya brandväggsregler. Certifikatutfärdarcertifikaten kan även hämtas genom WS-kanalens servicekallelse.
Inga ändringar görs i rotcertifikatutfärdaren.
Ändringar i kundtestmiljön
För närvarande används följande förtroendekedjor i certifikat för Kundtest:
| Syfte | Rotcertifikatutfärdare | Underordnad certifikatutfärdare | Slutanvändarcertifikat |
|---|---|---|---|
| Identifiera kunden i Web Services-kanalen | TEST OP-Pohjola Root CA | CUSTOMER TEST OP WS CA V2 | Certifikat för bankförbindelsekund |
| Identifiera banken i Web Services-kanalen | TEST OP-Pohjola Root CA | CUSTOMER TEST OP Services CA V2 | XML-underskriftscertifikat som används av banken |
| SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) | Offentligt betrodd rotcertifikatsutfärdare | Offentligt betrodd underordnad certifikatutfärdare (https://wsk.asiakastesti.op.fi) |
SSL-certifikaten för bankförbindelsekanalen (HTTPS) |
De nya förtroendekedjorna för Kundtest är följande (ändringarna markerade med blått):
| Syfte | Rotcertifikatutfärdare | Underordnad certifikatutfärdare | Slutanvändarcertifikat |
|---|---|---|---|
| Identifiera kunden i Web Services-kanalen | TEST OP-Pohjola Root CA | CUSTOMER TEST OP WS CA V3 | Certifikat för bankförbindelsekund (beviljas av den nya certifikatutfärdaren i samband med det normala förnyandet med två års mellanrum) |
| Identifiera banken i Web Services-kanalen | TEST OP-Pohjola Root CA | CUSTOMER TEST OP Services CA V3 | XML-underskriftscertifikat som används av banken |
| SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) | Offentligt betrodd rotcertifikatsutfärdare | Offentligt betrodd underordnad certifikatutfärdare (https://wsk.asiakastesti.op.fi) |
SSL-certifikaten för bankförbindelsekanalen (HTTPS) |
Certifikat som beviljats av nya certifikatutfärdare har en ny URL för hämtning av spärrlis-tor (CRL). Den nya URL ingår i slutanvändarcertifikatens tillägg ”CRL Distribution Point (CDP)”. Distributionsservern byts inte, så ändringen kräver inga nya brandväggsregler. Spärrlistorna för nya certifikat finns på följande adresser:
CUSTOMER TEST OP WS CA V3:
http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl
http://test2-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl
CUSTOMER TEST OP Services CA V3:
http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl
http://test2-crl.op-palve-lut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl
Ändringar i produktionsmiljön
För närvarande används följande förtroendekedjor i certifikaten för produktionsmiljön:
| Syfte | Rotcertifikatutfärdare | Underordnad certifikatutfärdare | Slutanvändarcertifikat |
|---|---|---|---|
| Identifiera kunden i Web Services-kanalen | OP-Pohjola Root CA | OP WS CA V2 | Certifikat för bankförbindelsekund |
| Identifiera banken i Web Services-kanalen | OP-Pohjola Root CA | OP Services CA V2 | XML-underskriftscertifikat som används av banken |
| SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) | Offentligt betrodd rotcertifikatsutfärdare | Offentligt betrodd underordnad certifikatutfärdare (https.//wsk.op.fi) |
SSL-certifikaten för bankförbindelsekanalen (HTTPS) |
De nya förtroendekedjorna i produktionsmiljön är följande (ändringarna markerade med blått):
| Syfte | Rotcertifikatutfärdare | Underordnad certifikatutfärdare | Slutanvändarcertifikat |
|---|---|---|---|
| Identifiera kunden i Web Services-kanalen | OP-Pohjola Root CA | OP WS CA V3 | Certifikat för bankför-bindelsekund (beviljas av den nya certifikatut-färdaren i samband med det normala för-nyandet med två års mellanrum) |
| Identifiera banken i Web Services-kanalen | OP-Pohjola Root CA | OP Services CA V3 | XML-underskriftscertifikat som används av banken |
| SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) | Offentligt betrodd rotcertifikatsutfärdare | Offentligt betrodd underordnad certifikatutfärdare (https://wsk.op.fi) |
SSL-certifikaten för bankförbindelsekanalen (HTTPS) |
Certifikat som beviljats av nya certifikatutfärdare har en ny URL för hämtning av spärrlis-tor (CRL). Den nya URL ingår i slutanvändarcertifikatens tillägg ”CRL Distribution Point (CDP)”. Distributionsservern byts inte, så ändringen kräver inga nya brandväggsregler. Spärrlistorna för nya certifikat finns på följande adresser:
OP WS CA V3:
http://crl.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl
http://crl2.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl
OP Services CA V3:
http://crl.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl
http://crl2.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl
Säkerställ dataskyddet för företagets bankförbindelseprogramvara
Vi rapporterade senast att efter den 24 mars 2021 kommer de gamla versionerna av TLS 1.0 och 1.1 inte längre att kunna överföra företagets data till banken. Eftersom fortfarande en liten andel av våra kunder överförar material med äldre versioner, vi flyttade datumet framåt.
De gamla versionerna av TLS-krypteringsprotokollet i anslutning till dataskyddet slopas i Web Services-kanalen i maj 2021. Kontrollera att företagets bankförbindelseprogram har en godkänd version, eftersom det efter 20.5.2021 inte längre går att förmedla företagets material till banken med de gamla TLS-versionerna 1.0 och 1.1. Om uppdateringarna inte görs kan inga betalningar förmedlas via Web Services.
Endast genom att tillåta nyare versioner säkerställer vi att materialet behandlas säkert. I enlighet med Kommunikationsverkets föreskrift om elektroniska identifieringstjänster och
betrodda elektroniska tjänster ska version 1.2 av TLS-protokollet eller nyare användas vid kryptering av dataöverföring.
Vi har redan flera gånger meddelat att stödet för de gamla versionerna upphör och uppmanat kunderna att uppdatera sina bankförbindelseprogram. Största delen av de program som företagen använder uppfyller redan kraven, men det finns fortfarande några företag som använder gamla versioner. Stödet för de gamla versionerna upphör 20.5.2021, och det är en absolut gräns för när uppdateringarna ska vara gjorda. Kontrollera att din programvara är uppdaterad.
Vad är Transport Layer Security (TLS)?
TLS är ett dataskyddsprotokoll som erbjuder dataskydd och dataintegritet mellan två kommunicerande program. Det används i stor utsträckning i webbläsare och andra program som kräver trygg dataöverföring på nätet.
Testa version TLS 1.2 i vår testmiljö för kunder
I Web Services-kanalens testmiljö för kunder kan du sända eller ta emot vilket slags material som helst mellan bankens och företagets program för att försäkra att TLS-krypteringsprotokollet skyddar datakommunikationen också i produktionsmiljön. Ta vid behov del av anvisningarna för testmiljön för kunder (pdf) (på finska).
Krypteringsalgoritmer som stöds
OP uppdaterar krypteringsinställningarna för Web Services-kanalen och avlägsnar protokollen TLS 1.0 och TLS 1.1. Samtidigt upphör stödet för flera gamla krypteringsalgoritmer (cipher suites).
OP stöder följande krypteringsalgoritmer:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Vad är krypteringsalgoritmen Cipher Suite?
TLS-dataskyddsprotokollet använder algoritmen Cipter Suite för att kryptera data som förmedlas. Den säkerställer datakommunikationsförbindelser som TLS använder.