Certifikater

Certifikaters levetid og "Domain Control Validation" bliver gravist reduceret frem til 2029. Det blev enstemigt vedtaget i ballot SC-081v3 april 2025 af "Certification Authority Browser Forum" og kommer til at gælde for alle PKI TLS-certifikater.

• Maksimum levetid for certifikater bliver 47 dage og kun 10 dages genbrug af DCV fra den 15/3 2029

Dette betyder at institutioner allerede nu bør stille spørgsmålet: "Har vi en automatiseringsstrategi for alle PKI TLS-certifikater i hele vores organisation?"

Svaret vil ofte involvere ACME - som gør det let at rekvirere TLS-certifikater.

Rekvirering af stjernecertifikater eller certifikater til interne servere kræver via ACME protokollen DNS-validering. Dette er mere indviklet. For at gøre det lettere og mere sikkert, har DeiC udviklet en ACME-DNS-tjeneste, som stilles gratis til rådighed for institutioner på Forskningsnettet.

Via GÉANT / Trusted Certificate Service (TCS) tilbyder DeiC certifikater til forsknings- og uddannelsessektoren, udstedt af en kommerciel leverandør. GÉANT har indgået en aftale med HARICA, som certifikatmyndighed (CA). HARICA leverer certifikater via deres selvbetjeningsportal. Her kan der bestilles certifikater af flg. typer:

• Domænevaliderede (DV) og organisationsvaliderede (OV) servercertificater
• Kodesigneringscertifikater
• Email-certifikater
• Personlige certifikater

Aftalen dækker ikke certificater af typen Extended Validation (EV). Disse kan dog bestilles direkte hos HARICA udenom GÉANT/TCS.

Regler for TCS-certifikater

1. Certifikaterne må kun bruges af forsknings- og uddannelsesinstitutioner og ikke i kommerciel sammenhæng.
2. Institutionen skal underskrive en Trusted Certificate Service (TCS) Subscriber Agreement, der afspejler betingelserne, som HARICA stiller.
3. Institutionen skal udpege en eller flere ansvarlige personer, som må bestille certifikater på institutionens vegne.
4. DeiC verificerer institutionen og tildeler rettigheder til administratorer/brugere, som derefter direkte selv kan bestille servercertifikater. 

Let's Encrypt er en gratis, åben CA, drevet af den almennyttige organisation Internet Security Research Group (ISRG). Tjenestens certifikater er godkendt af samtlige browsere på markedet; den er hurtigt blevet meget populær og der er opstået en række nyttige værktøjer, som gør det nemt at automatisere rekvirering og fornyelse af standard servercertifikater til individuelle offentlige webservere.

Til de institutioner der benytter, eller ønsker at benytte gratis certifikater fra Let's Encrypt tilbyder DeiC konsulenthjælp til at komme i gang og med automatisering af fornyelser.

DeiC stiller en egen tjeneste til rådighed, som gør det nemt og sikkert at oprette DNS 01 Challenge via Automatic Certificate Management Environment (ACME) - protokollen. Tjenesten kan benytte en hvilken som helst CA, der understøtter ACME, f.eks. Let's Encrypt og er tiltænkt institutioner, der vil automatisere certifikatudstedelse og -fornyelser for hele deres organisation inklusive stjernecertifikater og certifikater til interne netværk.

GÉANT TCS-certifikater

HARICA er blevet leverandør pr. 1 januar 2025. Prismodellen er under forhandling, men omkostningen er estimeret til at være sammenlignelig med tidligere.

Nuværende priser:

• OV Enkeltcertifikat: kr. 410
• OV Stjernecertifikat: kr. 500
• OV Multidomænecertifikat: kr. 1.060
• Kodesigneringscertifikat:
  • 1 år kr. 420
  • 2 år kr. 520
  • 3 år kr. 620
• Personligt certifikat: Gratis under 10 stk., ellers 100 kr. pr. certifikat.

Vi arbejder også på en "Ad libitum" model, som gøres endelig færdig i Q4 2025, hvor priserne nok bliver:

• 0-30: Samme priser som i dag
• 31-60: 10.000 kr/år
• 61-150: 20.000 kr/år
• 151-300: 50.000 kr/år
• 301-   :100.000 kr/år

DeiCs ACME-DNS-tjeneste

ACME-DNS-tjenesten med DNS-01 challenge - validering er gratis at bruge for alle på Forskningsnettet.

Man kan frit vælge en CA der understøtter ACME protokollen og ACME-DNS-tjenesten til DNS-validering. Hvis man benytter en gratis CA, som Let's Encrypt, er certifikaterne også gratis.

DeiC tilbyder konsulenthjælp med implementering af løsningen for kr. 950 i timen.

Certifikater via HARICA

Log ind på selvbetjeningsportalen HARICA Cert Manager via din institution, ved at vælge `Academic Login`. Udsøg din institution og log ind med WAYF.

Du kan hente PDF'er, der beskriver workflow for de forskellige roller i onboardingprocessen her:

• Enterprise Manager Guide
• Enterprise Admin Guide
• Enterprise Approver Guide

HARICA support og guides findes her på deres hjemmeside, mens dokumentation af deres API findes her.

GÉANT vedligeholder en FAQ, som bla. beskriver hvordan ACME protokollen kan understøttes med HARICA.

Hvis du gerne vil gerne vil teste tjenesten uden at skulle betale, kan du bruge: HARICA staging service.

Certifikater via ACME og DeiCs ACME-DNS-tjeneste

Teknisk dokumentation kan findes på Codeberg.

DeiC tilbyder support og hjælp med at komme i gang.