Vanaf 2025 wordt de dienst SURFcertificaten geleverd in samenwerking met HARICA via GÉANT. HARICA levert een uitgebreid aanbod van certificaten via een self-serviceportal voor de uitgifte van onder andere server-, code-signing- en persoonscertificaten.

Deze pagina's zijn nog volop in ontwikkeling terwijl we de functionaliteit met de nieuwe leverancier ontwikkelen, testen, en in gebruik nemen. Heb je vragen of hulp nodig, neem dan contact met ons op. Dat kan via certificaten-beheer@surf.nl. We vragen je wel nadrukkelijk om eerst te kijken of je het antwoord op je vraag kan vinden op deze wiki of met de guides op: https://guides.harica.gr.

Organisatorische FAQ

Wat gaat de overgang betekenen voor de kosten van de dienst SURFcertificaten?

Het tarief voor de dienst SURFcertificaten zal voor 2025 niet gewijzigd worden ten opzichte van de eerder voor 2025 aangekondigde prijs. Deze vind je op de productpagina. Voor het jaar daarna wordt SURF's gebruikelijke procedure gevolgd als er aanpassingen nodig blijken aan de tarieven of het tariefmodel. 

Voor sommige certificaattypen (bijvoorbeeld Extended Validation-certificaten) wordt na de overgang naar Harica apart afgerekend binnen de portal, details hierover worden in de loop van het eerste kwartaal duidelijk.

Zijn er veranderingen in de dienstverleningsovereenkomst tussen SURF en de instellingen voor SURFcertificaten?

De dienstverleningsovereenkomst voor SURFcertificaten die door de instelling getekend is of wordt zal voor zover we nu overzien niet aangepast hoeven te worden. Voor het aanpassen van bijvoorbeeld de vermelde (sub)verwerker in de bijlagen zal gebruik gemaakt worden van de standaard procedure die SURF hier voor heeft om notificaties van een wijziging aan de instelling te communiceren.

Hoe is de dienst nu aanbesteed?

De dienst wordt samen met andere NRENs ("SURF"-organisaties in Europa) gezamenlijk ingekocht onder de naam TCS door de samenwerkingsorganisatie GÉANT. GÉANT heeft het contract aan HARICA gegund als "onderhandelingsprocedure zonder voorafgaande aankondiging". 

Technische FAQ

Wat is het CAA record dat ik kan gebruiken voor de nieuwe leverancier?

Maak hiervoor een record van type CAA is, met als waarde  0 issue "harica.gr". Dit wordt ook automatisch gecontroleerd in Harica CertManager tijdens de aanvraag. Voor S/MIME certificaten is dat  0 issuemail "harica.gr", en voor wilcardcertificaten  0 issuewild "harica.gr"

Wat zijn de root-certificaten van de nieuwe leverancier?

De HARICA TLS RSA Root CA 2021 en de HARICA TLS ECC Root CA 2021 zijn de meest recente root-certificaten, voorgeïnstalleerd op Windows besturingssystemen en op MacOS vanaf versie 12. Deze zijn ook opgenomen in de root programma's van Mozilla en dergelijke. Om compatibiliteit met oudere clients te verzekeren zijn de intermediates die voor uitgifte worden gebruikt ook cross-signed door de oudere roots, in de root stores te vinden als Hellenic Academic and Research Institutions RootCA 2015

En welke intermediates worden gebruikt voor uitgifte? 

Deze vind je in de 'repository' op https://repo.harica.gr/rep_dyn. Onder Intermediate Certification Authorities staan vier 'HARICA GEANT' intermediates. Let op dat de naam in de dropdown niet overeen komt met de CN.

Ik krijg: "The validity of the requested domain name has expired. Please contact your organization’s administrator.”

Het aanvragen van een certificaat via de UI werkt binnen een Enterprise alleen met reeds gevalideerde domeinen. Die moeten dus eerst door een Enterprise Admin gevalideerd worden onder Enterprise Admin -> Klik op je instelling -> Domains -> Validate. Zie ook de algemene CertManager documentatie.

Hoe kan ik mijn eigen certificaataanvraag goedkeuren?

Dat kan niet. Dit is een keuze van HARICA en wij/GÉANT zijn het daar mee eens. Voor admins onderling kan dit overdreven zijn, maar wij vinden dit een best-practise die niet vreemd is om af te dwingen. Voor systeembeheerders en ander grootgebruik verwachten we dat er ACME gebruikt wordt. Daar geldt deze beperking niet.

Waarvoor worden OV en EV certificaten aangeraden?

OV, EV en DV-certificaten verschillen in validatieniveau door de certificaatautoriteit, maar browsers tonen dit onderscheid tegenwoordig niet meer. Er zijn geen significante verschillen in versleutelingsbeveiliging tussen deze certificaten, behalve voor de zichtbaarheid in de instellingen. De strengere validatie-eisen bemoeilijken automatisering, en de geldigheidsduur van certificaten wordt momenteel herzien. Voor de meeste toepassingen zijn DV-certificaten voldoende, terwijl OV en EV mogelijk nog nodig zijn voor specifieke gevallen, maar DV wordt voor de meeste situaties aanbevolen.

Kan ik EV-certificaten aanvragen?

Ja, maar deze zitten niet meer in de flat fee van de dienst. Hier moet dus apart voor worden afgerekend binnen CertManager.

Waarom niet gewoon Let's Encrypt?

Let's Encrypt is een uitstekende gratis dienst van een non-profit leverancier die voor veel toepassingen goed werkt. Het heeft enkele beperkingen die een beheerde dienst zoals TCS kan verhelpen, waaronder:

  • Certificaatbeheer via een portal voor een duidelijk overzicht van bestelde certificaten en hun levensduur
  • Apart toe te wijzen rechten voor beheerders en eindgebruikers
  • Mogelijkheid alle certificaattypes op één plek te bestellen.
  • OV en EV als opties voor specifieke toepassingen.
  • Ondersteuning voor IGTF-certificaten (binnenkort beschikbaar).
  • Ondersteuning door experts van SURF en HARICA
  • Geen rate limits
  • EU-gebaseerde voorwaarden en contracten die voor je worden onderhandeld.

Wat zijn de gebruikte domeinen voor CRL en OCSP?

Mocht je, bijvoorbeeld in een firewall van een niet-internetgericht systeem, de CRL en OCSP domeinen van Harica moeten toevoegen, zie hier:

Wat zijn de tijdlijnen voor de beschikbaarheid van certificaten?

Vanaf 26 januari hebben alle eindgebruikers toegang tot de portal en kunnen er certificaten worden uitgegeven.

Details over verwachtte functionaliteit vind je op Bekende Problemen & Toekomstige Functionaliteit. Na de snelle oplevering van basisfunctionaliteit prioriteren we samen met GÉANT en HARICA leverancier de meer geavanceerde functies. Daarbij moeten we rekening houden met het feit dat de complexere automatiseringsfunctionaliteit zoals ACME met EAB voor OV-certificaten, en het gebruik van een API, nog even op zich kunnen laten wachten.

Hoe kunnen we certificaten uitgegeven door de vorige leverancier intrekken?

Reeds uitgegeven certificaten door de vorige leverancier blijven geldig tot de einddatum in het certificaat. Als er tijdens de geldigheidsduur een situatie ontstaat waarvoor intrekken noodzakelijk is, kan dat via het support-kanaal van de oude leverancier of direct via sectigo.com/support/revocation. Volgens de richtlijnen in het CA/browser forum moet hier altijd snel gehoor aan gegeven worden.

Hoe voorkom ik certificaatprompts bij het wisselen van Radius-certificaat voor eduroam?

Eindgebruikers kunnen hun device het beste configureren via geteduroam, of via profielen uitgeleverd door eduroam CAT. Daarbij wordt niet alleen de juiste CA root gespecificeerd maar ook andere instellingen zodat het werkt en veilig is, wat voor eindgebruikers niet altijd evident is. Certificaatwisselingen geven dan geen prompts meer. Voor meer informatie over geteduroam of eduroam CAT kun je terecht bij het eduroam-team