PDF Export Vytisknout Poslat emailem

Změna nastavení komunikace s produkčním prostředí ZR k 1.8.2018

Z důvodů známých zranitelností komunikačních protokolů TLS1.0 a TLS1.1 a omezení slabého šifrování Správa základních registrů (dále jen SZR) rozhodla, že od 1. srpna 2018 bude na produkčním prostředí možné používat pouze protokol TLS1.2 a následující 4 silná šifrování: 

ID

SUITE 

 BITS

PROT  METHOD CIPHE 

KEYX 

  MAC 

47

AES128-SHA

128

 TLS1.2 Native AES

RSA

 SHA

53

AES256-SHA

256

 TLS1.2 Native AES

RSA 

 SHA

60

AES128-SHA256

128

 TLS1.2 Native AES

256 RSA 

 SHA

61

AES256-SHA256

256

 TLS1.2 Native AES

256 RSA

 SHA

Ukázka komunikace bez uvedení Server Name:

Tato změna si vynutila i upgrade firmware na firewallech vnějšího rozhraní ISZR, která přináší další nutné změny volání eGON služeb na straně uživatelských AIS:

-        AIS již nemohou volat služby ISZR pomocí URL obsahujícího přímo IP adresu, ale v URL je nutné používat domain name.

 

o   Pro přístup do produkčního prostředí ISZR třeba používat

§  Přes internet           iszr.gov.cz

§  Přes CMS               iszr.cms

§  Přes CMS 2            iszr.cms2.cz

 

o   Pro přístup do testovacího ISZR třeba používat

§  Přes internet      egon.gov.cz       (edit.egon.gov.cz je přesměrován na

                               egon.gov.cz, jedná se tedy o stejné         

                               prostředí)

§  Přes CMS          pub.egon.cms    (edit.egon.cms je přesměrován na                        

                                                       pub.egon.cms, jedná se tedy o stejné

                                                       prostředí)

§  Přes CMS 2      pub.egon.cms2.cz   (edit.egon.cms2.cz je přesměrován                                                       

                                                           na pub.egon.cms2.cz, jedná se             

                                                           tedy o stejné prostředí)

 

-        Při navazování ssl komunikace je nutné v rámci Handshake protokolu uvést ve zprávě Client Hello Server Name Indication extension. Klient před výměnou šifrovacích klíčů sděluje jméno požadovaného webového serveru, se kterým požaduje komunikovat. Bez této informace je připojení automaticky ukončováno.


komunikace_TLS1.png



komunikace_TLS2.png



-        Na serveru, ze kterého AIS navazuje komunikaci s vnějším rozhraním ISZR musí být nainstalovány certifikáty kořenové autority a obou podřízených autorit pro příslušné prostředí uvedené na adrese http://crliszr1.egon.gov.cz/.

 

Tato konfigurace je již delší dobu nasazena na vnějším rozhraní testovacího prostředí ISZR.

 

Žádáme vás, abyste co nejdříve otestovali, že váš AIS je na testovacím prostředí plně funkční a byli tak připraveni, až SZR dne 1. srpna 2018 nastaví analogicky též produkční prostředí ISZR, resp. měli čas svůj AIS přizpůsobit novým podmínkám.

 

V případě nejasností nebo dotazů kontaktujte Service Desk SZR:

mail: podpora@szrcr_cz

telefon: +420 225 514 758 (PO - PÁ 8:00 - 18:00)

Dopis pro správce AIS přistupujících k ZR.pdf Dopis pro správce AIS přistupujících k ZR.pdf (435,44 KB)