De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Voorlichting TLS 1.2 en CW Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten 16 februari 2016 1.

Verwante presentaties


Presentatie over: "Voorlichting TLS 1.2 en CW Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten 16 februari 2016 1."— Transcript van de presentatie:

1 Voorlichting TLS 1.2 en CW Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten 16 februari

2 Agenda WelkomMirjam STAVAZA TLS 1.2Mirjam STAVAZA Certificatenwissel Yvonne Proces aanvraag CertificatenAndrew TLS 1.2 detaillering o.a. impact diverse cipher suites, AS2Rick Certificatenwissel detaillering issue Rick Testen, toelichting vrije proces keten testen, groepsindelingMarcel Fall back TLS en CW overige systemenMirjam Communicatie en MR tot 1 juniYvonne 2

3 STAVAZA TLS 1.2 TC024 Overgang op TLS 1.2. Het betreft de overgang van TLS 1.0 naar de beveiligingsstandaard 1.2. De overheid heeft als regel uitgevaardigd dat TLS 1.2 de minimale standaard is. De ondersteuning van dit protocol is nog niet aanwezig in alle software die door de marktpartijen gebruikt wordt. Partijen moeten hiervan bewust worden om de systemen tijdig te updaten. TLS is een protocol dat tot doel heeft om beveiligde verbindingen over het internet te verzorgen. TLS 1.2 kan voor PIR, Portaal, PP4, CSS, TMR, CPR en meetcampagne gefaseerd tussen 5 maart en 1 juni 2016 ingevoerd worden. Voor TLS 1.2. en het AS2 wordt voorlopig vanuit gegaan dat onderhandelen aan blijft staan totdat alle partijen over zijn. 3

4 TLS 1.2 introductie NU.nl 4

5 STAVAZA Certificatenwissel Algemeen: Testcertificaten en productiecertificaten kunnen aangevraagd worden. Partijen die al eerder een productiecertificaat aangevraagd hebben bij KPN, ontvangen vanuit KPN een mail voor hun productiecertificaat met een persoonlijke link waarbij de bij KPN al bekende informatie is voor ingevuld in de nieuwe aanvraag. Deze link werkt alleen wanneer er geen wijzigingen zijn in de eerder opgegeven informatie. Testen vanaf 1 maart Productie op nieuw end-point vanaf 5 maart RFC op het project: Door een RFC krijgt de webbrowser van de centrale EDSN-systemen een certificaat dat valt onder de publieke root van PKIoverheid, in plaats van private root. Hierdoor is er voor partijen die alleen de WebGUI gebruiken geen impact meer. AS2 productie omgeving is afwijkend: Peer-to-peer berichtuitwisseling. Voor AS2 geldt een big bang invoering op 12 april Productie vanaf 12 april 2016 mogelijk. Partijen op AS2 krijgen een aparte nieuwsbrief. 5

6 Aanvragen certificaten Testcertifcaten: Aanvraag testcertificaat via EDSN (url) Proces vergelijkbaar aan aanvraag productiecertificaten Productiecertificaten: Voor productiecertificaten ontvang je een renewal-mail per certificaat vanuit KPN 12 februari hebben de partijen op het AS2 protocol een renewal- mail ontvangen 19 februari ontvangen de overige certificaathouders een renewal- mail 6

7 Proces aanvraag test certificaten 7

8 Aanleveren van CSR 8

9 Invoer instructie 9 Domeinnaam/IP- adres EAN van organisatie of MP (let op spatie EDSN)

10 Response EDSN U ontvangt testcertificaat binnen 24 uur terug in p7b formaat: De p7b bevat naast uw gesigneerde publieke sleutel TEST Staat der Nederlanden Private Services CA - G1 TEST KPN PKIoverheid Private Services CA - G1 TEST Staat der Nederlanden Private Root CA - G1, via install CA down te loaden: 10

11 Detaillering issue TLS 1.2 TC024: Invoering van TLS 1.2 Energiesector volgt de overheid / NCSC richtlijnen NCSC richtlijnen stellen TLS 1.2 als norm voor beveiliging datacommunicatie verbindingen Invulling geven aan richtlijn resulteert in centrale en decentrale aanpassingen ter ondersteuning van beveiligde communicatie middels het TLS 1.2 protocol 11

12 TLS 1.2 detaillering issue 12 Welke centrale systemen worden aangepast:

13 TLS 1.2 detaillering issue: duale endpoints TEST 13 SysteemHuidig (TLS 1.0)Nieuw (TLS 1.2) PIRwww.acc.pir-register.nl Portaalhttps://portaal-act.edsn.nl/b2b/https://portaal-act.edsn.nl/b2b2/ Portal P4:p4-test.edsn.nl pp4-test.edsn.nl TMR:tm-test.edsn.nl tmr-test.edsn.nl CSS:css-dat.edsn.nlcss-dat2.edsn.nl AS2 Teststraat:https://teststraat.edsn.nl/as2- receiver >

14 TLS 1.2 detaillering issue: duale endpoints PRODUCTIE 14 SysteemHuidig (TLS 1.0)Nieuw (TLS 1.2) PIRwww.pir-register.nl Portaalhttps://portaal.edsn.nl/b2b/https://portaal.edsn.nl/b2b2/ Portal P4:pp4.edsn.nlp4.edsn.nl TMR:tmr.edsn.nltm.edsn.nl CSS:css.edsn.nlcss2.edsn.nl AS2 Teststraat:n.v.t.

15 TLS 1.2 detaillering issue 15 De ciphersuites voor het configureren voor het TLS 1.2 beveiligingsprotocol zijn: TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256

16 CW detaillering issue 16 Wat verandert er in de structuur van het certificaat? Huidige structuur certificaat: Het Subject veld ‘Organizational Unit (OU)’ is gevuld met een optionele aanduiding van een organisatieonderdeel. Dit attribuut MAG NIET een functieaanduiding of dergelijke bevatten. Aanpassingen in structuur nieuwe certificaat: Het Subject veld ‘serialNumber’ wordt gevuld met de ‘Organizational Unit (OU)’ waarde van het huidige certificaat (EAN code). Huidige structuur certificaat: Het Subject veld ‘Organizational Unit (OU)’ is gevuld met een optionele aanduiding van een organisatieonderdeel. Dit attribuut MAG NIET een functieaanduiding of dergelijke bevatten. Aanpassingen in structuur nieuwe certificaat: Het Subject veld ‘serialNumber’ wordt gevuld met de ‘Organizational Unit (OU)’ waarde van het huidige certificaat (EAN code).

17 CW detaillering issue Testcertificaten en productiecertificaten kunnen vanaf heden aangevraagd worden en bevatten sleutels die geschikt zijn voor het opzetten van een beveiligde verbinding met TLS 1.2. Geen wijzigingen benodigd voor de GUI-gebruikers door RFC Welke certificaten zijn voor een goede B2B webservice communicatie met de centrale systemen benodigd? servercertificaat, vallend onder private root PKIoverheid conform TC027, voor authenticatie en beveiliging B2B data communicatie verbinding private root PKIoverheid versus publieke root PKIoverheid 17

18 CW detaillering issue 18 Systeem Berichtuitwisseling Servercertificaat PKIoverheid voor authenticatie en beveiliging van de data communicatie verbinding Vertrouwelijkheidcertificaat voor het versleutelen van de berichtinhoud PortaalJaNee PIRNee TMRJa Nee De Technische Commissie heeft een RFC ingediend om de vertrouwelijkheidcertificaten voor TMR te handhaven. Vervanging alleen noodzakelijk als de geldigheidsdatum is verstreken. De SR NEDU moet nog besluiten of ze de RFC goedkeurt (besluit op ). PP4JaNee CSSJaNee TeststraatJaNee Versleuteling wordt uitgevoerd door het servercertificaat

19 RFC TMR vertrouwelijkheidcertificaat PKIoverheid vertrouwelijkheidcertificaten worden alleen uitgeleverd op hardware (Secure User Device), dit heeft een grote impact op TMR en systemen van de marktpartijen. Technische Commissie heeft geconcludeerd dat de huidige TMR vertrouwelijkheidcertificaten nog voldoen aan de beveiligingseisen en geadviseerd de huidige TMR vertrouwelijkheidcertificaten uit de private root van KPN te handhaven om de impact voor de certificaatwissel zo laag mogelijk te houden. 19

20 CW detaillering issue: AS2 Teststraat Encryptie in het AS2 protocol: Een van de eigenschappen van het AS2 protocol is de encryptie van de berichtinhoud. In samenspraak met GTS wordt voor de encryptie van berichtdata in het AS2 protocol gebruik gemaakt van de sleutels uit het Servercertificaat van PKIoverheid. Geen additioneel PKIoverheid vertrouwlijkheidcertificaat benodigd voor de AS2 Teststraat Aanleveren publieke certificaat tbv AS2 adresboek en om succesvol live te kunnen gaan 20

21 Hoofdlijnen Testaanpak CMF en NEDU (1/2) CMF deel TLS 1.2 & CW (centrale aanpassing) EDSNReview Systeem testen SI’s Uitvoeren Systeem Acceptatie Test (SAT) Oplossen bevindingen NetbeheerdersFunctionele & Gebruikers Acceptatie Test (FAT & GAT) 21

22 Hoofdlijnen Testaanpak CMF en NEDU (2/2) NEDU deel TLS 1.2 & CW (décentrale aanpassing) Marktpartijen Implementatie TLS 1.2 en uitvoering Vrije Testen (VT) EDSNTestondersteuning waaronder: Coördinatie transitie TLS 1.1  1.2 Support (bv. connectiviteits issues) Communicatie t.a.v. testproces Monitoren- en rapporteren testvoortgang 22

23 Detail Testaanpak voor de marktpartijen TLS 1.2 Verantwoordelijkheid Marktpartijen: Invoering TLS 1.2 (aanroepen van extra endpoint exclusief te benaderen via TLS 1.2) Updaten van software van eigen systemen waar nodig (Beveiligings)risico’s of bouwen van workarounds Testen van connectiviteit TLS 1.2 met de juiste Ciphers Verantwoordelijkheid EDSN: Constateren of er wel of niet wordt getest Coördineren van transitie testen Beschikbaar stellen centrale testvoortgang tool en tooling tbv registreren bevindingen 23

24 Detail Testaanpak voor de marktpartijen Certificaten Wissel Verantwoordelijkheid Marktpartijen: Aanschaffen, implementeren en tegen de centrale EDSN systemen testen van certificaten die zijn uitgegeven onder de private root van PKIoverheid (test certs via EDSN / prod certs via KPN) Inregelen nieuwe endpoints Testen van vervangende certificaten voor https-diensten: – Virtualoffice.edsn.nl Virtualoffice.edsn.nl – Testvoortgang.edsn.nl Testvoortgang.edsn.nl – Stats.edsn.nl Stats.edsn.nl Verantwoordelijkheid EDSN: Constateren of er wel of niet wordt getest Coördineren van testen Beschikbaar stellen centrale testvoortgang tool en tooling tbv registreren bevindingen 24

25 Vrije Test groepsindeling 25 Voor TLS 1.2 en CW worden alle marktpartijen die NEDU-lid zijn, plus ODA’s, gelijkmatig verdeeld over een periode van 7 weken. De Vrije Test start vanaf 7 maart. In de 7 e en laatste week van de transitie staan geen testen gepland. Deze week is een uitloopweek of kan gebruikt worden voor eventuele hertesten. Het staat de marktpartijen vrij om vanaf 1 maart, wanneer de ACT omgeving beschikbaar komt, te testen op deze testomgeving. De groepsindeling ondersteunt in: Het op tijd kunnen vaststellen of er in een groep problemen zijn of kunnen attenderen dat er te laat is gestart met geplande tests Het dwingen om op tijd te starten De workload gelijkmatig verdelen voor EDSN

26 Overall Vrije Test planning 26

27 Vaststellen testvoortgang Voor vaststellen of marktpartijen hun geplande testen binnen een week hebben afgerond, wordt het Clixz Testvoortgang platform gebruikt zoals deze ook is ingezet tijdens SR2015. Deze eenvoudige webapplicatie gebruiken alle marktpartijen in de transitie-periode om hun voortgang eenduidig te rapporteren. Zo kan EDSN vaststellen of er gewerkt wordt volgens planning en gemaakte afspraken. De uitkomsten vanuit de online registratietool worden verpakt naar voortgangrapportages voor SSR NEDU om resultaten van de transitie te presenteren. Er wordt gerapporteerd over: afgerond en akkoord afgerond en niet akkoord (bevinding) niet afgerond niet komen opdagen gestart nog niet gestart Als marktpartijen eerder starten met de transitie of langer doorgaan dan 1 week, wordt dit automatisch zichtbaar in de rapportage aan SR NEDU. Het is de verantwoordelijkheid van de marktpartij zelf om de online registratie te gebruiken voor de voortgang en afronding van hun geplande tests. Deze input is leidend voor het op te leveren vrijgaveadvies richting SR NEDU. 27

28 Gebruik van het EDSN Clixz-platform De URL: testvoortgang.edsn.nl wordt wederom gebruikt voor het EDSN Clixz- platform. Dit platform wordt gebruikt om TLS 1.2 en CW scripts te presenteren aan alle bekende NEDU-leden en ODA’s die zijn ingedeeld voor de Vrije Testen. Een week voor elke testweek wordt, per NEDU-lid en ODA, inloggegevens opgestuurd aan de bij NEDU bekende testmanager, projectmanager of anders aan het NEDU ALV-lid. 28

29 Bevindingen registratie Testcoördinatie Projectteam TLS 1.2 en CW functioneert als 1 e lijn support De template voor het registeren van een bevinding kun je vinden op MijnEDSN. De template vul je compleet in en stuur je op naar informeert de indiener over: bevindingen geregistreerd wijzigingen in prioriteit vastgestelde urgentie klaar voor hertest retour dat hertest OK is of NOK 29

30 Prioriteit vaststellen van een bevinding 30

31 Communicatie en vragen over testen Vragen kunnen worden gesteld via 31

32 Fall back TLS 1.2 Als risico mitigerende maatregel is gekozen om te werken met twee verschillende endpoints op de centrale systemen. Op het bestaande endpoint bestaat de security uit TLS 1.0. Het nieuwe endpoint hanteert de nieuwe veiligheidsnorm TLS 1.2 en het nieuwe Certificaat (met EAN op nieuwe plaats). Als de acceptatiecriteria voor beide projecten wordt behaald dan wordt de oude endpoint met TLS 1.0 uitgefaseerd. 32

33 Fall back TLS 1.2 Wel CW per 1 juni, uitstel TLS 1.2 aanvragen bij ALV NEDU Beide endpoints open, oude endpoint pas uitzetten als TLS 1.2 voldoet aan acceptatiecriteria (geen actie) Indien wel gewenst is om met de nieuwe certificaten live te gaan en niet TLS, dan zou EDSN de nieuwe certificaten op de oude endpoints moeten activeren. In principe zou dit geen issue mogen zijn, mits EDSN op een juiste wijze de EAN-code uit het nieuwe veld kan verwerken 33

34 Fall back CW Voor de certificaten is er nog niet een concreet fallback scenario voorzien. De oplossing van twee endpoints is geen fall back optie voor certificatenwissel. Fall back optie kan pas gekozen worden op het moment dat er inzicht is in de problematiek van het live brengen van de nieuwe certificaten. Monitoring voortgang aanvraag certificaten per NEDU-lid en ODA. Monitoring aantal partijen die Vrij Keten Testen doorlopen. Monitoring mate waarin markt is aangehaakt door middel van Market Readiness 34

35 Communicatie - nieuwsbrief Twee-wekelijkse nieuwsbrief naar alle contactpersonen waarin een aantal terugkerende onderwerpen worden behandeld zoals status c.q. voortgang van het project qua bouw, overgang naar 1.2 en gewisselde certificaten, de planning, mogelijke RFC, aangepaste documentatie, tips, FAQ’s, informatiesessies, bijzonderheden testen etc. Doelgroep primair: Projectmanagers marktpartijen en ODA’s Testmanagers marktpartijen Doelgroep secundair: Alle geïnteresseerden 35

36 Communicatie - Informatiebijeenkomst Het doel van deze bijeenkomsten is om de marktpartijen te informeren over de 2 issues van het project en de impactanalyse van de 2 issues, planning, test-aanpak, communicatie, market Readiness en gelegenheid om vragen te stellen. Doelgroep: Projectmanagers marktpartijen Testmanagers marktpartijen Na afloop worden de presentaties van de informatiebijeenkomst beschikbaar gesteld op mijnEDSN/mijnNEDU. Voor ODA’s vooralsnog op het openbare gedeelte van mijnNEDU. 36

37 Communicatie – Helpdesk en FAQ Gedurende de hele looptijd van het project is het mogelijk om vragen te stellen via dit mailadres. De vragen worden waar mogelijk binnen een dag door een lid van het project team beantwoord. Mocht de responsetijd langer zijn, dan wordt de vraagsteller hierover per geïnformeerd. FAQ De vragen en antwoorden worden gedurende de looptijd van het project bewaard. De meest gestelde vragen en antwoorden worden als PDF met een datum gepubliceerd op MijnEDSN en/of MijnNEDU. Dit hangt van het onderwerp af. De top 3 is onderdeel van de nieuwsbrief. 37

38 Communicatie - sharepoint Op de sharepoint omgeving mijnEDSN en mijnNEDU is alle documentatie terug te vinden met betrekking tot de twee projecten. Deze documentatie is het uitgangspunt voor de marktpartijen en is altijd up- to-date. NEDU-lid en geen account: overige niet NEDU-leden: documentatie op algemene gedeelte Welke documenten worden op mijnNEDU gezet? PID, acceptatiecriteria, issue, mastertestplan, GAT-testplan, fallbackplan Welke documenten worden op mijnEDSN gezet? PSA, issue, Testvoorzieningen requirements en aansluitinformatie nieuwe endpoints 38

39 Market Readiness Doelstelling van de Market Readiness is: Het uitvragen van de marktpartijen in de energiesector naar de mate waarin ze klaar zijn voor de definitieve overgang naar TLS 1.2 en/of Certificatenwissel. Het criterium dat hierbij gebruikt wordt is dat tenminste 66% van elke marktrol klaar moet zijn voor de overgang. Escalatie: Indien de uitvraag niet wordt beantwoord, zal desbetreffende marktpartij in de daaropvolgende week opnieuw worden bevraagd, totdat een antwoord wordt gegeven op de uitvraag. Scope NEDU Market Readiness: De Market Readiness richt zich op NEDU-leden en partijen die geen NEDU lid kunnen worden i.c. de ODA’s. Market Readiness monitort de voortgang van marktpartijen door te vragen of ze bekend zijn met de documentatie, de specifieke kenmerken van het project (bijvoorbeeld het gefaseerd aanvragen van nieuwe certificaten) in acht nemen en of ze daadwerkelijk over zijn naar TLS 1.2 of het certificaat vernieuwd hebben of in staat zijn dit te implementeren voor 1 juni 2016 (AS2 Certificatenwissel wijkt hier af). Specificatie contactpersonen MR TLS 1.2 / CW: Alleen NEDU leden worden bevraagd en ODA’s (omdat zij geen lid mogen worden). De NEDU leden worden alleen bevraagd voor de marktrol(len) waarvoor zij NEDU lid zijn. De NEDU leden worden bevraagd via de projectmanager die zij hebben aangegeven bij in de uitvraag naar contactpersonen. De uitvraag naar contactpersonen is reeds geweest. Vooral de kleine partijen hebben nog niet voldoende gereageerd. Er is mogelijkheid te controleren of de de juiste PM bij ons als contactpersoon is vermeld. Lijsten bij de ingang van de zaal. De Market Readiness wordt niet op EAN code uitgevraagd, maar op NEDU-lidmaatschap. De bij ons bekend ODA’s worden ook bevraagd. 39

40 Market Readiness Testen Voor het testen in de teststraat worden de marktpartijen in groepen verdeeld. De basis van de indeling wordt door testen bepaald. Deze marktpartijen worden gemonitord via tooling of zij zich gemeld hebben in de teststraat door EDSN Beheer. Op basis van de tooling wordt de door NEDU vastgestelde status uitgestuurd. Indien de status is dat een partij qua testing achter loopt op de planning wordt gevraagd zich zo snel mogelijk te aan te melden of af te melden in de teststraat. MR - Resultaten Met een succesvolle uitvoering van het Market Readinessplan worden de volgende resultaten bereikt: tenminste 66% van alle marktpartijen per marktrol (gemeten in aantal aansluitingen) is klaar voor de uitfasering van TLS 1.2 en het per 1 juni niet langer ondersteunen van de oude certificaten. 40

41 Wat mogen jullie van ons verwachten? Market Readiness Februari Uitvraag MR: Alle documentatie bekend? Zijn de marktpartijen klaar voor testen? Zijn marktpartijen bekend met problematiek rond TLS 1.2 en uitgifte nieuwe certificaten en de consequenties van het niet behalen van 1 juni 2016 Maart - April Status bevestiging testen Voor AS2: ‘Bent u klaar voor de definitieve overgang op 12 april 2016’ Begin mei ‘Bent u klaar voor de definitieve overgang op 1 juni 2016’ 41

42 42 Dank voor uw aandacht


Download ppt "Voorlichting TLS 1.2 en CW Voorbereiding testen en overgang naar TLS 1.2 en nieuwe certificaten 16 februari 2016 1."

Verwante presentaties


Ads door Google