Důležité termíny v souvislosti se serverovými certifikáty TCS
2026-02-02
Nedávno byly stanoveny (snad už konečné) termíny týkající se serverových certifikátů TCS a jejich vydávání CA HARICA.
2. 3. 2026
Od tohoto data nebudou serverové certifikáty obsahovat rozšíření client authentication. V praxi to znamená, že nově vydané serverové certifikáty nepůjde využít k ověření vůči jinému serveru (např. pokud server používá certifikát pro autentikaci k logserveru, mailserveru, databázovému serveru, apod.). Certifikáty vydané do 1. 3. včetně bude možné k autentikaci využít až do konce jejich platnosti.
2. 3. 2026
Tímto datem končí podpora OCSP, nově vydané certifikáty už nebudou obsahovat odkazy na OCSP servery. Informace o revokacích budou pouze v CRL. Pozor na staré či neaktualizované systémy a zařízení, kde mohou nastat problémy. Prohlížeče posledních verzí jsou na tuto změnu připraveny a OCSP nebudou vyžadovat.
15. 3. 2006
Od tohoto data bude zkrácena platnost nově vydaných serverových certifikátů na 200 dnů. Certifikáty vydané před tímto datem budou mít nezkrácenou platnost.
Problém s vydáváním osobních certifikátů - vyřešeno
2026-01-12
Od soboty 10. ledna 2026 do pondělí 12. ledna 2026 nefungovalo vydávání osobních certifikátů. Po přihlášení se objevila zpráva Server Error. Chyba je již opravena.
Zprovozněno vydávání pomocí ACME
2025-10-08
Bylo zprovozněno vydávání certifikátů pomocí ACME. Pro nastavení automatizace prosím postupujte podle návodů na pki.cesnet.cz.
Služba TCS obnovena
2025-09-01
Po delší odstávce kvůli změně certifikační autority služba TCS běží.
- Je možné žádat o serverové certifikáty a to pro všechny domény druhé úrovně ve vlastnictví Univerzity Karlovy. Ale pozor - jiné domény, než cuni.cz, je nutné znovu validovat. Pokud tcs.cesnet.cz odmítne žádost o certifikát z důvodu, že některá doména v něm není validovaná, napište nám na tcs@cuni.cz a validaci provedeme. Pošlete prosím seznam doménových jmen v žádosti, která neprošla.
- Vydávání wildcard serverových certifikátů funguje.
- Vydávání osobních certifikátů také už funguje.
Nová certifikační autorita pro TCS
2025-05-15
Novou certifikační autoritou je řecká HARICA. Pozor na to, že se změnou CA se změnily i mezilehlé certifikáty, které musí být v konfiguraci některých aplikací. Jsou ke stažení zde.
Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS
2024-10-15
Viz zprávička na root.cz.
Google chce omezit platnost certifikátů na 90 dnů, změna zřejmě přijde brzy
2024-09-11
Chystané zkrácení platnosti serverových certifikátů
2024-09-04
Společnost Google, vyvíjející prohlížeč Chrome, oznámila, že hodlá přestat podporovat serverové certifikáty, jejichž platnost je delší, než 90 dnů.
Po uvedené změně bude nutné vydávání certifikátů automatizovat, protože jejich ruční obnova každé tři měsíce nebude pro většinu z vás schůdná. CESNET proto připravuje možnost vydávání prostřednictvím protokolu ACME, který je implementován balíčkem certbot dostupným ve všech běžných distribucích Linuxu i ve Windows. Tato možnost bude vašim uživatelům pravděpodobně dostupná koncem září.
Certifikáty vydané před změnou budou platit po celou dobu své životnosti. Výměnou stávajících serverových certifikátů za nové bude pravděpodobně možné získat více času na případné nasazení automatizace.
Další informace budeme zveřejňovat přůběžně, jak budou dostupné.
Odstranění jednoho revokačního seznamu
2021-09-15
Dodavatel certifikátů TCS, společnost Sectigo, odstranil z DNS jednu ze dvou adres revokačních seznamů (CRL) uvedených v kořenovém certifikátu TCS. Ve drtivé většině případů není od vás potřeba žádná speciální akce.
V kořenovém certifikátu TCS (CN=AAA Certificate Services) jsou uvedeny tyto adresy CRL:
http://crl.comodoca.com/AAACertificateServices.crl
http://crl.comodo.net/AAACertificateServices.crl
Druhá adresa (crl.comodo.net) už nefunguje. V rámci přechodu na nový CDN byla Sectigem odstraněna z DNS. Pokud některý váš systém závisel pouze na této druhé adrese, stahujte, prosím, CRL z první adresy, tedy
http://crl.comodoca.com/AAACertificateServices.crl
Konec vydávání serverových certifikátů s dvouletou platností
2020-07-21
Přišla špatná zpráva:
Společnosti Google a Apple, diktující světu IT řadu standardů, se rozhodly, že od 1. 9. 2020 budou z jejich prohlížečů vyhozeny a za nedůvěryhodné považovány takové CA, které budou nabízet certifikáty s platností delší než 398 dnů.
Kvůli tomu se v rámci služby TCS přestanou 19. 8. 2020 vydávat serverové certifikáty s platností dva roky.
Výše uvedené se týká serverových certifikátů (ne osobních a dalších). Certifikáty s delší dobou platnosti vydané před 19. 8. 2020 revokovány nebudou.
Obnovení služby
2020-07-10
Změna certfikační autority obnášela víc problémů, než se čekalo a výpadek služby byl delší. Od 26. června 2020 ale už je možné získat serverové certifikáty a od 10. července 2020 i osobní. Osobní certifikáty mají nově platnost 3 roky a je povolené mít v nich jen e-mailové adresy z domén, které vlastní Univerzita Karlova.
Nezapomeňte
- přidat do domény CAA záznam pro Sectigo (nemusíte u cuni.cz subdomén, tam už je)
- v konfiguraci serveru změnit řetěz mezilehlých certifikátů - viz help
Více informací na stránkách TCS CESNET.
Revokace EV certifikátů od DigiCertu k 11. 7. 2020
2020-07-10
EV certifikáty vydané DigiCertem pro Univerzitu Karlovu budou předčasně revokovány 11. července 2020.
1. května 2020 se změní certifikační autorita
2020-03-26
Od 1. května 2020 bude TCS certifikáty vydávat certifikační autorita Sectigo.
Co to přinese v praxi:
- Začátkem května budou pravděpodobně vydávání certifikátů provázet technické a organizační problémy. Počítejte s tím a nenechávejte prolužování certifikátů na poslední chvíli.
- Při výměně stávajícího serverového certifikátu za nový (od Sectigo) bude nutné v konfiguraci změnit i certifikáty mezilehlé autority.
- Při výměně stávajícího certifikátu na eduroam radius serveru za nový (od Sectigo) by si uživatelé museli změnit konfiguraci svých zařízení (notebooků, telefonů…). Abychom se tomu vyhnuli, vyměňte certifikáty na radius serverech za nové do konce dubna 2020, aby byly od stejné certifikační autority (DigiCertu). Tím se problém odloží o 2 roky.
- Certifikáty vydané stávající certifikační autoritou DigiCert nebudou revokovány.
Více informací na stránkách TCS CESNET.
Doménové jméno nesmí obsahovat podtržítko
2018-10-03
Od 1. 10. 2018 DigiCert nevydává certifikáty pro doménová jména obsahující podtržítko.