skip to Main Content

Op 24 september meldden we in een extra nieuwsbrief dat we problemen hebben met cipher suites die als goed zijn omschreven in TC038 ‘Jaarlijkse update Cipher Suites 3.0’. Het gaat om de cipher suites (prio) 1 en 2 uit de tabel. Ook voor nummer 7 en 8, die in de tabel als tijdelijk zijn omschreven, komt een scopewijziging. Gevolg is dat je vanaf 1 januari 2019 alleen cipher suites 3 tot en met 6 kunt gebruiken.

 

Cipher suite 1 en 2 uit scope
Uit onderzoek is gebleken dat cipher suites 1 en 2 uit de bovenstaande tabel niet met de centrale systemen kunnen en mogen werken. Uit de root cause-analyse komt naar voren dat deze cipher suites gebruikmaken van zogeheten ECC-certificaten. De overige als goed omschreven cipher suites (nummer 3 tot en met 6) maken gebruik van een RSA-certificaat.

ECC-certificaten werken niet onder PKI-overheid
Bij het project Certificatenwissel in 2016 hebben we het issue TC027 geïmplementeerd. In dit issue is vastgesteld dat we in de berichtenuitwisseling in de energiesector werken conform PKI-overheid private root. Leverancier van de certificaten onder de PKI-overheid is voor de sector KPN. PKI-overheid private root, met KPN als preferred supplier, werkt alleen met RSA-certificaten. Daarmee staan cipher suites 1 en 2 dus ten onrechte op het lijstje als goed gekwalificeerde cipher suites. Het gevolg is dat issue TC038 op dat punt niet in lijn is met het eerder vastgestelde en nog steeds geldende issue TC027.

Niet in GAT en uit scope
De constatering over cipher suites 1 en 2 vraagt om een vaststelling door de ALV NEDU. Helaas vond de ALV NEDU recent plaats op 26 september. De volgende is pas op 7 november 2018. Daar kunnen we niet op wachten. Daarom berichten we je dat in de Gebruikersacceptatietest (GAT) vanaf aanstaande maandag, in de testomgeving en in de productieomgeving de cipher suites 1 en 2 niet gebruikt gaan worden. Ze gaan ook niet live op 1 januari 2019.

Tijdelijke cipher suites 7 en 8
Deze week ontving jouw organisatie een Market Readiness (MR). Een van de vragen was of je van plan was van een niet als veilig gekwalificeerde cipher suite wilde overstappen naar een tijdelijke cipher suites met prio 7 of 8. Uit de MR blijkt dat slechts een enkele partij misschien een tijdelijke cipher suite wil gebruiken.

De Technische Commissie (TC) is ook gevraagd te reflecteren op deze vraag. Moet er voor PP4, TMR (Toegankelijk Meetregister) en de centrale hub Nexus een bypass gebouwd worden om cipher suites 7 en 8 voor 1 jaar werkend te krijgen? Vooruitlopend op de definitieve beslissing lijken de eerste MR-resultaten te wijzen op het besluit om geen bypass te bouwen.

Neem direct contact op
Ben je afhankelijk van cipher suites 7 of 8? Neem dan met SPOED contact op via project@edsn.nl.

Request for Change (RFC)
Op basis van bovenstaande bevindingen wordt de Request for Change (RFC) TC038.1 ‘Scope-aanpassing classificatie Cipher Suites’ geschreven. Op 5 oktober 2018 gaat deze RFC naar de SR NEDU ter goedkeuring. De RFC zal tot doel hebben cipher suites 1 en 2 uit het lijstje goed gekwalificeerde cipher suites te halen. Daarnaast zal de RFC voor het berichtenverkeer met de systemen PP4, TMR en Nexus de tijdelijke cipher suites 7 en 8 uit scope halen.

Conclusie
Om vanaf 1 januari 2019 volledig te kunnen communiceren met de centrale systemen moet je gebruikmaken van cipher suites met prio 3, 4, 5 en/of 6 uit de bovenstaande tabel.

Terug naar overig nieuws