Prepnutie na SHA-256
Dovoľujeme si vás informovať, že z dôvodu zvyšovania bezpečnosti Ústredného portálu verejnej správy Národná agentúra pre sieťové a elektronické služby zmení v produkčnom prostredí predvolený algoritmus používaný pri podpisovaní SAML v IAM module ÚPVS zo „sha-1" a „rsa-sha1" na „sha-256" a „rsa-sha256".
Zmena sa dotkne SAML Assertion:
- v STS službe IAM ÚPVS používanej pre prístup k službám cez integračné rozhrania,
- vo WebSSO službe IAM ÚPVS používanej pre jednotné prihlasovanie používateľov do špecializovaných portálov a agendových systémov napríklad použitím eID.
Informácia o tejto zmene je od začiatku februára 2020 zverejnená v Release pláne nasadzovaných zmien na Ústrednom portáli verejnej správy (ÚPVS) a taktiež bola dňa 17. júna 2020 zverejnená vo forme oznamu na Partner framework portáli a rozposlaná vo forme informačného e-mailu. Od integračných partnerov sme nedostali požiadavku na posunutie avizovaných termínov.
Harmonogram zmien:
1. STS služba
V službe STS bola zmena vykonaná globálne dňa 11. decembra 2020 o 14.00 h v produkčnom prostredí (PROD) ÚPVS. Táto zmena neumožňuje nastaviť výnimky pre jednotlivé systémy. V testovacom prostredí (FIX) ÚPVS bola zmena STS vykonaná globálne dňa 22. júna 2020.
2. WebSSO
V službe WebSSO je zmena realizovaná postupne od 28. októbra 2020 v dvoch fázach s možnosťou dočasne využívať SHA-1 pre nepripravené systémy:
Fáza 1 „prepnutie na žiadosť" - od 28. októbra 2020 do 15. februára 2021
Vo fáze 1 môžu poskytovatelia služieb (SP - service provider) požiadať o prepnutie na SHA-256 v individuálne dohodnutom termíne zaslaním e-mailu na adresu integracie@nases.gov.sk.
Fáza 2 „globálne prepnutie" - dňa 15. februára 2021 o 16.00 h
Vo fáze 2 budú hromadne prepnutí na SHA-256 všetci poskytovatelia služieb, ktorí do tohto termínu nepožiadajú o prepnutie v inom individuálne dohodnutom termíne. V testovacom prostredí (FIX) ÚPVS bola zmena WebSSO vykonaná globálne pre všetkých poskytovateľov služieb dňa 1. júla 2020 okrem poskytovateľov, ktorí požiadali o výnimku.
Dovoľujeme si vás požiadať, aby ste si na testovacom prostredí ÚPVS preverili podporu SHA-256 vo vašich informačných systémoch využívajúcich služby jednotného prihlásenia WebSSO IAM ÚPVS.
Po úspešnom prepnutí na SHA-256 dňa 15. februára o 16.00 h si, prosím, otestujte funkčnosť nasadenej zmeny. V prípade zistenia problému alebo inej nezrovnalosti nás, prosím, obratom kontaktujte.
V požiadavkách zasielaných integrovanými subjektmi na služby IAM (STS aj WebSSO) je potrebné používať SHA-256.