Vid elektronisk kommunikation är det nödvändigt att identifiera även den som levererar tjänsten. Myndigheten för digitalisering och befolkningsdata utfärdar servercertifikat för detta ändamål. Servercertifikaten kan användas för identifiering av såväl den offentliga förvaltningens som den privata sektorns tjänster. Med hjälp av servercertifikatet kan den som utnyttjar tjänsten försäkra sig om att tjänsteleverantören är äkta.
Viktigt information om ansökan om nya servercertifikat
Myndigheten för digitalisering och befolkningsdata beviljar inte längre servercertifikat eller servercertifikat för social- och hälsovården enbart på basis av IP-adressen från och med 15.9.2023. Därför ska certifikatansökan innehålla antingen ett domain-namn eller ett domain-namn och en IP-adress.
Dessutom beviljar MDB från och med 15.9.2023 inte servercertifikat som innehåller en e-postadress. Denna ändring påverkar inte e-postcertifikaten, som är en certifikattyp som är separat från servercertifikatet.
Servercertifikat möjliggör SSL-krypterad datakommunikation mellan en webbläsare och en server eller mellan två servrar. Den som underhåller servern skapar nyckelparen som används av servercertifikaten. Nyckelns längd kan vara 2048 eller 4096 bitar.
Myndigheten för digitalisering och befolkningsdata är den enda finländska certifikatauktoriteten som erbjuder officiellt EU-kvalificerade QWAC-certifikat (Qualified website authentication certificate).
Beroende på användningsmålet kan servercertifikatets användningssyfte specificeras:
- identifiering av server (server authentication)
- identifiering av kund (client authentication)
- identifiering av server och identifiering av kund (server authentication och client authentication).
Nättjänster av tre olika typer kan förverkligas med de servercertifikat som Myndigheten för digitalisering och befolkningsdata utfärdar:
- endast servercertifikat
- servercertifikat och användarcertifikat (på förhand okända användare)
- servercertifikat och användarcertifikat (förhandsinställda användare)
Myndigheten för digitalisering och befolkningsdatas certifikat är automatiskt betrodda i webbläsaren Microsoft Internet Explorer.
I fråga om nyare servercertifikat följer certifikatets serienummer det nya längre formatet, vilket möjligen behöver beaktas för att undvika kompatibilitetsproblem i samband med datasystemutveckling.
Gammal kortare form: hex 0bf4eab0 = decimal 200600240
Ny längre form: hex 0100000168f0a805c366b43b5de968c691fb = decimal 87112293252494463413683796322992020427259
Endast servercertifikat
Sidorna i en nättjänst är specificerade att helt eller delvis använda skyddad datakommunikation. Datakommunikationen mellan servern och användarens webbläsare är i det fallet skyddad mot utomstående (SSL/TLS). Den här lösningen kräver att ett certifikatutfärdarens certifikat som båda parterna litar på installeras i servern och användarens webbläsare. Myndigheten för digitalisering och befolkningsdata säljer servercertifikat till tjänsteleverantörer. Den vanliga kombinationen med användaridentifikation och lösenord kan användas i tjänsten.
Servercertifikat och användarcertifikat (på förhand okända användare)
Samma som ovan (endast servercertifikat), men användarna har certifikat utfärdade av en tillförlitlig certifikatutfärdare (kort, kortläsare och kortläsarprogram, t.ex. kortläsarptogrammet mPollux DigiSign Vlient), på basis av vilka olika tjänster genomförs för en omfattande, på förhand ospecificerad användargrupp. Exempel på typiska tjänster är förvaltningens tjänster och webbutiker. Utnyttjande av användarnas certifikat är gratis för tjänsteleverantören! Utgående från den elektroniska kommunikationskoden som ingår i medborgarcertifikatet är det möjligt att i befolkningsdatasystemet söka användarens personbeteckning och/eller postadress (Myndigheten för digitalisering och befolkningsdatas avgiftsbelagda tjänst, kräver också tillstånd för utgivning av information) genom en tillämpningsförfrågning. Andra identifierande koder används i organisationscertifikat. Detta möjliggör elektronisk signatur av data (dokument).
Servercertifikat och användarcertifikat (förhandsinställda användare)
Samma som ovan (servercertifikat och användarcertifikat, på förhand okända användare), men användarens certifikat är länkat till en användaridentifikation och behörighet (som gäller för operativsystem, databas etc.). Den här lösningen förutsätter att användarens certifikat söks i förväg t.ex. till användaridentifikation som länkas med LDAP. Certifikatet kan även kopieras direkt från kortet då kortinnehavaren är närvarande. Den som beviljar behörigheten kan då se identitetskortet och dess innehavare. Medborgarcertifikatet på ID-kortet eller organisationsspecifika organisationscertifikat kan användas som certifikat.
Det här alternativet utnyttjas ofta i system där användare har olika behörigheter, t.ex. vid användning av intranet och extranet. Lösningen kan tillämpas vid specificering av underhållskoder för en nättjänst också i de två första alternativen.
När certifikat används underlättas kontrollen av användaridentifieringar eftersom användarna varken behöver komma ihåg användaridentifieringar eller lösenord. Kontroller av giltighetstid och spärrlistor för certifikat skall utföras.
I praktiken utgörs den omfattade webbtjänsten av tidigare delar, exempelvis genom att länka användarnas certifikat till kunduppgifterna. Implementeringen påverkas även av existerande bakgrundssystem och funktionalitetskraven för tjänsten.
Servercertifikat kan även användas i andra syften, såsom i e-postservrar samt datatrafiken mellan olika typer av gateway-program och -utrustning.
