De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten

GepubliceerdMerel Verbeke Laatst gewijzigd meer dan 8 jaar geleden

Verwante presentaties

Presentatie over: "Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten"— Transcript van de presentatie:

1 Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten
Voorlichting TLS 1.2 en CW Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten 16 februari 2016

2 Agenda Welkom Mirjam STAVAZA TLS 1.2 Mirjam
STAVAZA Certificatenwissel Yvonne Proces aanvraag Certificaten Andrew TLS 1.2 detaillering o.a. impact diverse cipher suites, AS2 Rick Certificatenwissel detaillering issue Rick Testen, toelichting vrije proces keten testen, groepsindeling Marcel Fall back TLS en CW overige systemen Mirjam Communicatie en MR tot 1 juni Yvonne

3 STAVAZA TLS 1.2 TC024 Overgang op TLS 1.2. Het betreft de overgang van TLS 1.0 naar de beveiligingsstandaard 1.2. De overheid heeft als regel uitgevaardigd dat TLS 1.2 de minimale standaard is. De ondersteuning van dit protocol is nog niet aanwezig in alle software die door de marktpartijen gebruikt wordt. Partijen moeten hiervan bewust worden om de systemen tijdig te updaten. TLS is een protocol dat tot doel heeft om beveiligde verbindingen over het internet te verzorgen. TLS 1.2 kan voor PIR, Portaal, PP4, CSS, TMR, CPR en meetcampagne gefaseerd tussen 5 maart en 1 juni 2016 ingevoerd worden. Voor TLS 1.2. en het AS2 wordt voorlopig vanuit gegaan dat onderhandelen aan blijft staan totdat alle partijen over zijn.

4 TLS 1.2 introductie NU.nl

5 STAVAZA Certificatenwissel
STAVAZA Certificatenwissel Algemeen: Testcertificaten en productiecertificaten kunnen aangevraagd worden. Partijen die al eerder een productiecertificaat aangevraagd hebben bij KPN, ontvangen vanuit KPN een mail voor hun productiecertificaat met een persoonlijke link waarbij de bij KPN al bekende informatie is voor ingevuld in de nieuwe aanvraag. Deze link werkt alleen wanneer er geen wijzigingen zijn in de eerder opgegeven informatie. Testen vanaf 1 maart 2016. Productie op nieuw end-point vanaf 5 maart 2016. RFC op het project: Door een RFC krijgt de webbrowser van de centrale EDSN-systemen een certificaat dat valt onder de publieke root van PKIoverheid, in plaats van private root. Hierdoor is er voor partijen die alleen de WebGUI gebruiken geen impact meer. AS2 productie omgeving is afwijkend: Peer-to-peer berichtuitwisseling. Voor AS2 geldt een big bang invoering op 12 april 2016. Productie vanaf 12 april 2016 mogelijk. Partijen op AS2 krijgen een aparte nieuwsbrief.

6 Aanvragen certificaten
Testcertifcaten: Aanvraag testcertificaat via EDSN (url) Proces vergelijkbaar aan aanvraag productiecertificaten Productiecertificaten: Voor productiecertificaten ontvang je een renewal-mail per certificaat vanuit KPN 12 februari hebben de partijen op het AS2 protocol een renewal-mail ontvangen 19 februari ontvangen de overige certificaathouders een renewal-mail

7 Proces aanvraag test certificaten

8 Aanleveren van CSR

9 Invoer instructie Domeinnaam/IP-adres
EAN van organisatie of MP (let op spatie EDSN)

10 Response EDSN U ontvangt testcertificaat binnen 24 uur terug in p7b formaat: De p7b bevat naast uw gesigneerde publieke sleutel TEST Staat der Nederlanden Private Services CA - G1 TEST KPN PKIoverheid Private Services CA - G1 TEST Staat der Nederlanden Private Root CA - G1, via install CA down te loaden:

11 Detaillering issue TLS 1.2
TC024: Invoering van TLS 1.2 Energiesector volgt de overheid / NCSC richtlijnen NCSC richtlijnen stellen TLS 1.2 als norm voor beveiliging datacommunicatie verbindingen Invulling geven aan richtlijn resulteert in centrale en decentrale aanpassingen ter ondersteuning van beveiligde communicatie middels het TLS 1.2 protocol

12 TLS 1.2 detaillering issue
Welke centrale systemen worden aangepast:

13 TLS 1.2 detaillering issue: duale endpoints TEST
Systeem Huidig (TLS 1.0) Nieuw (TLS 1.2) PIR Portaal Portal P4: p4-test.edsn.nl       pp4-test.edsn.nl TMR: tm-test.edsn.nl        tmr-test.edsn.nl         CSS: css-dat.edsn.nl css-dat2.edsn.nl AS2 Teststraat: << nog niet bekend >>

14 TLS 1.2 detaillering issue: duale endpoints PRODUCTIE
Systeem Huidig (TLS 1.0) Nieuw (TLS 1.2) PIR Portaal Portal P4: pp4.edsn.nl p4.edsn.nl TMR: tmr.edsn.nl tm.edsn.nl CSS: css.edsn.nl css2.edsn.nl AS2 Teststraat: n.v.t.

15 TLS 1.2 detaillering issue
De ciphersuites voor het configureren voor het TLS 1.2 beveiligingsprotocol zijn: TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256

16 CW detaillering issue Huidige structuur certificaat:
Wat verandert er in de structuur van het certificaat? Huidige structuur certificaat: Het Subject veld ‘Organizational Unit (OU)’ is gevuld met een optionele aanduiding van een organisatieonderdeel. Dit attribuut MAG NIET een functieaanduiding of dergelijke bevatten. Aanpassingen in structuur nieuwe certificaat: Het Subject veld ‘serialNumber’ wordt gevuld met de ‘Organizational Unit (OU)’ waarde van het huidige certificaat (EAN code).

17 CW detaillering issue Testcertificaten en productiecertificaten kunnen vanaf heden aangevraagd worden en bevatten sleutels die geschikt zijn voor het opzetten van een beveiligde verbinding met TLS 1.2. Geen wijzigingen benodigd voor de GUI-gebruikers door RFC Welke certificaten zijn voor een goede B2B webservice communicatie met de centrale systemen benodigd? servercertificaat, vallend onder private root PKIoverheid conform TC027, voor authenticatie en beveiliging B2B data communicatie verbinding private root PKIoverheid versus publieke root PKIoverheid

18 CW detaillering issue Systeem Berichtuitwisseling
Servercertificaat PKIoverheid voor authenticatie en beveiliging van de data communicatie verbinding Vertrouwelijkheidcertificaat voor het versleutelen van de berichtinhoud Portaal Ja Nee PIR TMR De Technische Commissie heeft een RFC ingediend om de vertrouwelijkheidcertificaten voor TMR te handhaven. Vervanging alleen noodzakelijk als de geldigheidsdatum is verstreken. De SR NEDU moet nog besluiten of ze de RFC goedkeurt (besluit op ). PP4 CSS Teststraat Versleuteling wordt uitgevoerd door het servercertificaat

19 RFC TMR vertrouwelijkheidcertificaat
PKIoverheid vertrouwelijkheidcertificaten worden alleen uitgeleverd op hardware (Secure User Device), dit heeft een grote impact op TMR en systemen van de marktpartijen. Technische Commissie heeft geconcludeerd dat de huidige TMR vertrouwelijkheidcertificaten nog voldoen aan de beveiligingseisen en geadviseerd de huidige TMR vertrouwelijkheidcertificaten uit de private root van KPN te handhaven om de impact voor de certificaatwissel zo laag mogelijk te houden.

20 CW detaillering issue: AS2 Teststraat
Encryptie in het AS2 protocol: Een van de eigenschappen van het AS2 protocol is de encryptie van de berichtinhoud. In samenspraak met GTS wordt voor de encryptie van berichtdata in het AS2 protocol gebruik gemaakt van de sleutels uit het Servercertificaat van PKIoverheid. Geen additioneel PKIoverheid vertrouwlijkheidcertificaat benodigd voor de AS2 Teststraat Aanleveren publieke certificaat tbv AS2 adresboek en om succesvol live te kunnen gaan

21 Hoofdlijnen Testaanpak CMF en NEDU (1/2)
CMF deel TLS 1.2 & CW (centrale aanpassing) EDSN Review Systeem testen SI’s Uitvoeren Systeem Acceptatie Test (SAT) Oplossen bevindingen Netbeheerders Functionele & Gebruikers Acceptatie Test (FAT & GAT)

22 Hoofdlijnen Testaanpak CMF en NEDU (2/2)
NEDU deel TLS 1.2 & CW (décentrale aanpassing) Marktpartijen Implementatie TLS 1.2 en uitvoering Vrije Testen (VT) EDSN Testondersteuning waaronder: Coördinatie transitie TLS 1.1  1.2 Support (bv. connectiviteits issues) Communicatie t.a.v. testproces Monitoren- en rapporteren testvoortgang

23 Detail Testaanpak voor de marktpartijen
TLS 1.2 Verantwoordelijkheid Marktpartijen: Invoering TLS 1.2 (aanroepen van extra endpoint exclusief te benaderen via TLS 1.2) Updaten van software van eigen systemen waar nodig (Beveiligings)risico’s of bouwen van workarounds Testen van connectiviteit TLS 1.2 met de juiste Ciphers Verantwoordelijkheid EDSN: Constateren of er wel of niet wordt getest Coördineren van transitie testen Beschikbaar stellen centrale testvoortgang tool en tooling tbv registreren bevindingen

24 Detail Testaanpak voor de marktpartijen
Certificaten Wissel Verantwoordelijkheid Marktpartijen: Aanschaffen, implementeren en tegen de centrale EDSN systemen testen van certificaten die zijn uitgegeven onder de private root van PKIoverheid (test certs via EDSN / prod certs via KPN) Inregelen nieuwe endpoints Testen van vervangende certificaten voor https-diensten: Virtualoffice.edsn.nl Testvoortgang.edsn.nl Stats.edsn.nl Verantwoordelijkheid EDSN: Constateren of er wel of niet wordt getest Coördineren van testen Beschikbaar stellen centrale testvoortgang tool en tooling tbv registreren bevindingen

25 Vrije Test groepsindeling
Voor TLS 1.2 en CW worden alle marktpartijen die NEDU-lid zijn, plus ODA’s, gelijkmatig verdeeld over een periode van 7 weken. De Vrije Test start vanaf 7 maart. In de 7e en laatste week van de transitie staan geen testen gepland. Deze week is een uitloopweek of kan gebruikt worden voor eventuele hertesten. Het staat de marktpartijen vrij om vanaf 1 maart, wanneer de ACT omgeving beschikbaar komt, te testen op deze testomgeving. De groepsindeling ondersteunt in: Het op tijd kunnen vaststellen of er in een groep problemen zijn of kunnen attenderen dat er te laat is gestart met geplande tests Het dwingen om op tijd te starten De workload gelijkmatig verdelen voor EDSN

26 Overall Vrije Test planning

27 Vaststellen testvoortgang
Voor vaststellen of marktpartijen hun geplande testen binnen een week hebben afgerond, wordt het Clixz Testvoortgang platform gebruikt zoals deze ook is ingezet tijdens SR2015. Deze eenvoudige webapplicatie gebruiken alle marktpartijen in de transitie-periode om hun voortgang eenduidig te rapporteren. Zo kan EDSN vaststellen of er gewerkt wordt volgens planning en gemaakte afspraken. De uitkomsten vanuit de online registratietool worden verpakt naar voortgangrapportages voor SSR NEDU om resultaten van de transitie te presenteren. Er wordt gerapporteerd over: afgerond en akkoord afgerond en niet akkoord (bevinding) niet afgerond niet komen opdagen gestart nog niet gestart Als marktpartijen eerder starten met de transitie of langer doorgaan dan 1 week, wordt dit automatisch zichtbaar in de rapportage aan SR NEDU. Het is de verantwoordelijkheid van de marktpartij zelf om de online registratie te gebruiken voor de voortgang en afronding van hun geplande tests. Deze input is leidend voor het op te leveren vrijgaveadvies richting SR NEDU.

28 Gebruik van het EDSN Clixz-platform
De URL: testvoortgang.edsn.nl wordt wederom gebruikt voor het EDSN Clixz-platform. Dit platform wordt gebruikt om TLS 1.2 en CW scripts te presenteren aan alle bekende NEDU-leden en ODA’s die zijn ingedeeld voor de Vrije Testen. Een week voor elke testweek wordt, per NEDU-lid en ODA, inloggegevens opgestuurd aan de bij NEDU bekende testmanager, projectmanager of anders aan het NEDU ALV-lid.

29 Bevindingen registratie
Testcoördinatie Projectteam TLS 1.2 en CW functioneert als 1e lijn support De template voor het registeren van een bevinding kun je vinden op MijnEDSN. De template vul je compleet in en stuur je op naar informeert de indiener over: bevindingen geregistreerd wijzigingen in prioriteit vastgestelde urgentie klaar voor hertest retour dat hertest OK is of NOK

30 Prioriteit vaststellen van een bevinding

31 Communicatie en vragen over testen
Vragen kunnen worden gesteld via

32 Fall back TLS 1.2 Als risico mitigerende maatregel is gekozen om te werken met twee verschillende endpoints op de centrale systemen. Op het bestaande endpoint bestaat de security uit TLS 1.0. Het nieuwe endpoint hanteert de nieuwe veiligheidsnorm TLS 1.2 en het nieuwe Certificaat (met EAN op nieuwe plaats). Als de acceptatiecriteria voor beide projecten wordt behaald dan wordt de oude endpoint met TLS 1.0 uitgefaseerd.

33 Fall back TLS 1.2 Wel CW per 1 juni, uitstel TLS 1.2 aanvragen bij ALV NEDU Beide endpoints open, oude endpoint pas uitzetten als TLS 1.2 voldoet aan acceptatiecriteria (geen actie) Indien wel gewenst is om met de nieuwe certificaten live te gaan en niet TLS, dan zou EDSN de nieuwe certificaten op de oude endpoints moeten activeren. In principe zou dit geen issue mogen zijn, mits EDSN op een juiste wijze de EAN-code uit het nieuwe veld kan verwerken

34 Fall back CW Voor de certificaten is er nog niet een concreet fallback scenario voorzien. De oplossing van twee endpoints is geen fall back optie voor certificatenwissel. Fall back optie kan pas gekozen worden op het moment dat er inzicht is in de problematiek van het live brengen van de nieuwe certificaten. Monitoring voortgang aanvraag certificaten per NEDU-lid en ODA. Monitoring aantal partijen die Vrij Keten Testen doorlopen. Monitoring mate waarin markt is aangehaakt door middel van Market Readiness

35 Communicatie - nieuwsbrief
Twee-wekelijkse nieuwsbrief naar alle contactpersonen waarin een aantal terugkerende onderwerpen worden behandeld zoals status c.q. voortgang van het project qua bouw, overgang naar 1.2 en gewisselde certificaten, de planning, mogelijke RFC, aangepaste documentatie, tips, FAQ’s, informatiesessies, bijzonderheden testen etc. Doelgroep primair: Projectmanagers marktpartijen en ODA’s Testmanagers marktpartijen Doelgroep secundair: Alle geïnteresseerden

36 Communicatie - Informatiebijeenkomst
Het doel van deze bijeenkomsten is om de marktpartijen te informeren over de 2 issues van het project en de impactanalyse van de 2 issues, planning, test-aanpak, communicatie, market Readiness en gelegenheid om vragen te stellen. Doelgroep: Projectmanagers marktpartijen Testmanagers marktpartijen Na afloop worden de presentaties van de informatiebijeenkomst beschikbaar gesteld op mijnEDSN/mijnNEDU. Voor ODA’s vooralsnog op het openbare gedeelte van mijnNEDU.

37 Communicatie – Helpdesk en FAQ
Gedurende de hele looptijd van het project is het mogelijk om vragen te stellen via dit mailadres. De vragen worden waar mogelijk binnen een dag door een lid van het project team beantwoord. Mocht de responsetijd langer zijn, dan wordt de vraagsteller hierover per geïnformeerd. FAQ De vragen en antwoorden worden gedurende de looptijd van het project bewaard. De meest gestelde vragen en antwoorden worden als PDF met een datum gepubliceerd op MijnEDSN en/of MijnNEDU. Dit hangt van het onderwerp af. De top 3 is onderdeel van de nieuwsbrief.

38 Communicatie - sharepoint
Op de sharepoint omgeving mijnEDSN en mijnNEDU is alle documentatie terug te vinden met betrekking tot de twee projecten. Deze documentatie is het uitgangspunt voor de marktpartijen en is altijd up- to-date. NEDU-lid en geen account: overige niet NEDU-leden: documentatie op algemene gedeelte Welke documenten worden op mijnNEDU gezet? PID, acceptatiecriteria, issue, mastertestplan, GAT-testplan, fallbackplan Welke documenten worden op mijnEDSN gezet? PSA, issue, Testvoorzieningen requirements en aansluitinformatie nieuwe endpoints

39 Market Readiness Doelstelling van de Market Readiness is: Het uitvragen van de marktpartijen in de energiesector naar de mate waarin ze klaar zijn voor de definitieve overgang naar TLS 1.2 en/of Certificatenwissel. Het criterium dat hierbij gebruikt wordt is dat tenminste 66% van elke marktrol klaar moet zijn voor de overgang. Escalatie: Indien de uitvraag niet wordt beantwoord, zal desbetreffende marktpartij in de daaropvolgende week opnieuw worden bevraagd, totdat een antwoord wordt gegeven op de uitvraag. Scope NEDU Market Readiness: De Market Readiness richt zich op NEDU-leden en partijen die geen NEDU lid kunnen worden i.c. de ODA’s. Market Readiness monitort de voortgang van marktpartijen door te vragen of ze bekend zijn met de documentatie, de specifieke kenmerken van het project (bijvoorbeeld het gefaseerd aanvragen van nieuwe certificaten) in acht nemen en of ze daadwerkelijk over zijn naar TLS 1.2 of het certificaat vernieuwd hebben of in staat zijn dit te implementeren voor 1 juni 2016 (AS2 Certificatenwissel wijkt hier af). Specificatie contactpersonen MR TLS 1.2 / CW: Alleen NEDU leden worden bevraagd en ODA’s (omdat zij geen lid mogen worden). De NEDU leden worden alleen bevraagd voor de marktrol(len) waarvoor zij NEDU lid zijn. De NEDU leden worden bevraagd via de projectmanager die zij hebben aangegeven bij in de uitvraag naar contactpersonen. De uitvraag naar contactpersonen is reeds geweest. Vooral de kleine partijen hebben nog niet voldoende gereageerd. Er is mogelijkheid te controleren of de de juiste PM bij ons als contactpersoon is vermeld. Lijsten bij de ingang van de zaal. De Market Readiness wordt niet op EAN code uitgevraagd, maar op NEDU-lidmaatschap. De bij ons bekend ODA’s worden ook bevraagd.

40 Market Readiness Testen
Voor het testen in de teststraat worden de marktpartijen in groepen verdeeld. De basis van de indeling wordt door testen bepaald. Deze marktpartijen worden gemonitord via tooling of zij zich gemeld hebben in de teststraat door EDSN Beheer. Op basis van de tooling wordt de door NEDU vastgestelde status uitgestuurd. Indien de status is dat een partij qua testing achter loopt op de planning wordt gevraagd zich zo snel mogelijk te aan te melden of af te melden in de teststraat. MR - Resultaten Met een succesvolle uitvoering van het Market Readinessplan worden de volgende resultaten bereikt: tenminste 66% van alle marktpartijen per marktrol (gemeten in aantal aansluitingen) is klaar voor de uitfasering van TLS 1.2 en het per 1 juni niet langer ondersteunen van de oude certificaten.

41 Wat mogen jullie van ons verwachten? Market Readiness
Februari Uitvraag MR: Alle documentatie bekend? Zijn de marktpartijen klaar voor testen? Zijn marktpartijen bekend met problematiek rond TLS 1.2 en uitgifte nieuwe certificaten en de consequenties van het niet behalen van 1 juni 2016 Maart - April Status bevestiging testen Voor AS2: ‘Bent u klaar voor de definitieve overgang op 12 april 2016’ Begin mei ‘Bent u klaar voor de definitieve overgang op 1 juni 2016’

42 Dank voor uw aandacht

Download ppt "Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten"

Verwante presentaties

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Inleiding instructie MijnSmile

Inleiding instructie MijnSmile
AccrA Zaalreserveringssoftware voor klein en groot

AccrA Zaalreserveringssoftware voor klein en groot
SBR voorlichtingsbijeenkomsten 2011

SBR voorlichtingsbijeenkomsten 2011
Work shop nieuwe functionaliteit Roy-data Nieuwe bevragings- en procesmogelijkheden release voorjaar 2014 Tjeerd Wierda.

Work shop nieuwe functionaliteit Roy-data Nieuwe bevragings- en procesmogelijkheden release voorjaar 2014 Tjeerd Wierda.
Feedback applicatie Introductie in het gebruik Aanleiding •Wie? Het betreft de Autorisatie artsen en de eigen Huisarts van de Patiënt •Wat? Het betreft.

Feedback applicatie Introductie in het gebruik Aanleiding •Wie? Het betreft de Autorisatie artsen en de eigen Huisarts van de Patiënt •Wat? Het betreft.
Thinkquest2 versie 2013 info: vanaf februari 2013.

Thinkquest2 versie 2013 info: vanaf februari 2013.
EPortfolio Arbeidsmarktregio Friesland Datum: 12 mei 2014.

EPortfolio Arbeidsmarktregio Friesland Datum: 12 mei 2014.
Template Status Voortgang rapportage

Template Status Voortgang rapportage
Web Intake Systeem een uniek gemeentelijk project.

Web Intake Systeem een uniek gemeentelijk project.
 Kwaliteitskader Gehandicaptenzorg Van registratie naar informatie Regiobijeenkomsten oktober 2009 Tunahan Kuzu.

 Kwaliteitskader Gehandicaptenzorg Van registratie naar informatie Regiobijeenkomsten oktober 2009 Tunahan Kuzu.
Digipoort Eerste bijeenkomst SBR en Digipoort Datum: 24-03-2009.

Digipoort Eerste bijeenkomst SBR en Digipoort Datum:
Info avond COPD/DM registratie & verslagen 30-05-2012.

Info avond COPD/DM registratie & verslagen
Introductie OHSAS 18001.

Introductie OHSAS
Verzuimmeldingcorrespondentiepoortwachter Ik wil zien processturingdossiermatchingrapportage.

Verzuimmeldingcorrespondentiepoortwachter Ik wil zien processturingdossiermatchingrapportage.
Belgacom Bizmail ONEway voor Leveranciers

Belgacom Bizmail ONEway voor Leveranciers
Workshop nieuwe release Roy-data september 2008. Agenda Aanleiding en uitgangspunten nieuwe release Roy-data 1 x nieuwe zoekfunctionaliteit, 4 logistieke.

Workshop nieuwe release Roy-data september Agenda Aanleiding en uitgangspunten nieuwe release Roy-data 1 x nieuwe zoekfunctionaliteit, 4 logistieke.
Acceptatiemanagement conform B-Accept Winand van Drenth

Acceptatiemanagement conform B-Accept Winand van Drenth
Update Implementatie en beheer

Update Implementatie en beheer
VU Millennium Project Wat is het millenniumprobleem? Wat zijn de gevolgen? Wat doet de VU?

VU Millennium Project Wat is het millenniumprobleem? Wat zijn de gevolgen? Wat doet de VU?

Verwante presentaties

Ads door Google