You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Aika:Torstai 10.9.2015 klo 13:55 - 15:20
Paikka:Verkossa http://connect.funet.fi/haka
Osallistujat:

Haka-operaattori:
Kari Laalo
Keijo Korte
Sami Silén
Arto Tuomi
Mikael Lindèn
 

Osallistujat 

Juha Nyholm
Leena Katariina Heino
Pekka Kuronen
Reijo Rosti
Jari Järvinen
Veli-Matti Vimpari
Tero Oinonen
Mikael Linden
Mika Tiainen
Max Österman
Viljo Viitanen
Ismo Lauskari
Heikki Ruhanen
Matti Tiitinen
Jiri Sariola
Mika Salo
Markus Hagman
Katarina Stubbe
Sami Mäkinen
Antto Sierla
Heikki Ruhanen
Janne Lauros
Jouko Rintamäki
Maarit Saaresto
Toni Säämänen
Sami Mäkinen
Mikko Kuja-Lipasti

Kokousmuistio

  1. Kokouksen avaus
    • Kari Laalo avasi kokouksen klo. 13:55
  2. Valitaan puheenjohtaja ja sihteeri
    • Puheenjohtaja Kari Laalo
    • Sihteeri Keijo Korte
  3. Todetaan läsnäolijat
    • Läsnäolijat lueteltu yo. listassa.
  4. FunetEduPerson-skeeman (FEP) versio 2.2 käyttöönotto
    1. Esittely:FEP-päivitystä on valmisteltu ohjausryhmän 1/2013 kokouksen toimeksiannosta. Huhtikuussa 2015 päivittyi schac-skeema, johon FEP tukeutuu. Haka-operointi on valmistellut päivitystä yhteistyössä IAM-verkoston kanssa. Esitys FEP versioksi 2.2 löytyy Haka-wikistä osoitteella: https://confluence.csc.fi/x/yQwlAg .

      Keskeiset muutokset skeemaan on merkitty sinisellä värillä ja lueteltu changeLog-kappaleessa. Taustatietoa päivityksestä on wikin navigaatiossa versioluonnoksen yläsivuilla.

      Skeemamuutoksen lisäksi Hakan IdP-ympäristön muutokseen vaikuttaa keväällä 2015 julkaistu Shibboleth IdP ohjelmiston versiotason 3 valmistuminen. Organisaatiot joutuvat päivittämään IdP:nsä uuteen versioon syksyn aikana tai viimeistään keväällä 2016. Tällä perusteella Haka-operointi esittää uuden skeemaversion käyttöönottamista viimeistään 4.1.2016 mennessä, jonka jälkeen skeemaversio 2.1 katsottaisiin vanhentuneeksi.
      Haka-operoinnin esitys:Esitetään Haka ohjausryhmän 2.10.2015 pidettävälle kokoukselle 3/2015 funetEduPerson-skeeman version 2.2 vahvistamista käyttöönotettavaksi viimeistään maanantaina 4.1.2016. Tämän jälkeen skeemaversio 2.1 katsotaan vanhentuneeksi ja sitä ei pidä enää käyttää.
      KommentitLeena Katariina Heino: FEP 2.2:n 2.1 changes osiossa typo funetEduPersoLearnerId, Person sanasta puuttuu n-kirjain
      Jari Järvinen: Tekstin muuttaminen siten että viittaus tilastokeskuksen ensisijaisuuten poistetaan?
      Leena Katariina Heino: Pienet tekniset muutokset tai selvennykset kannattaa varmaan tehtä operaattorin toimesta ilman sen suurempaa hyväksymisprosessia. Leena Katariina Heino: kun web ja haka-varmenteet on erotettu, niin tuo sha2 muutos on mennyt aika kivuttomasti
      Päätös:18 / 27 osallistujaa kannattaa uuden FEP-skeeman käyttöönottoa. Kukaan ei vastustanut. Päätettiin ottaa käyttöön uusi FEP-skeema aikataulun mukaisesti.
  5. SHA2-allekirjoitusalgoritmin käyttöön siirtyminen
    1. Esittely:SHA1-allekirjoitusalgoritmi on tunnistettu heikoksi jo vuonna 2005. OWASP-säätiö kehottaa välttämään heikkojen salausalgoritmien käyttöä.

      Hakassa SHA hajautusalgoritmi on käytössä palvelun (SP) tuottaman autentikaatiopyynnön ja tunnistuslähteen (IdP) tuottaman autentikaatiovastauksen allekirjoituksissa. Edellisten lisäksi algoritmia käytetään HTTPS-liikenteen suojaamiseen käytettyjen varmenteiden allekirjoituksissa.

      Google on ilmoittanut suhtautuvansa SHA1-algoritmiin vanhentuneena ja varoittaa käyttäjiä turvattoman algoritmin käytöstä Chrome-selaimessaan. Shibboleth-konsortio on julkaissut aikataulun IdP-ohjelmiston versiotasoon 3 siirtymiselle ja Haka-operointi on tästä erikseen tiedottanut.

      Hakassa yleisesti käytössä oleva Shibboleth SP-ohjelmiston viimeisin versio (kirjoittaessa V2.5.5) tukee sellaisenaan uudempaa SHA2-algoritmia. Hakassa yleisesti käytetty Shibboleth IdP-ohjelmiston versiotason 2 haaran viimeisin versio (kirjoitettaessa V2.4.4) pystyy tarkistamaan SHA2-allekirjoituksen ja ulkopuolisella laajennuksella myös tuottamaan SHA2-allekirjoituksia. Shibboleth IdP versiotason 3 haaran viimeisin versio (kirjoitettaessa V3.1.1) pystyy tarkistamaan ja tuottamaan SHA2-allekirjoituksia sellaisenaan.

      Hakassa käytettävä SAML-profiili velvoittaa käyttämään suojattuja HTTPS-päätepisteitä autentikaatioviestien välittämisessä. Mm. phishing- ja man-in-the-middle -hyökkäyksien ehkäisemiseksi HTTPS-liikenteessä ei pitäisi käyttää heikompia algoritmejä, mitä on käytössä SAML-viestien suojaamiseen. Näin ollen on perusteltua siirtyä SHA2-varmenteiden käyttöön myös Hakassa käytettävässä HTTPS-viestinnässä. Funet varmennepalvelusta on saatavilla SHA2-menetelmällä allekirjoitettuja palvelinvarmenteita.
      Haka-operoinnin esitys:Päätetään, että Hakassa käytettyjen SAML-viestien allekirjoittamisessa on käytettävä vähintään SHA2-vahvuista allekirjoitusmenetelmää viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen.

      Päätetään, että Hakassa SAML-viestien välittämiseen käytettävien HTTPS-päätepisteiden suojaamiseen on käytettävä vähintään SHA2-vahvuisella menetelmällä allekirjoitettuja varmenteita viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen.
      KommentitViljo Viitanen: Hakassa mukana olevilla ei ole valtiotason uhkaajia toivottavasti (jotka sha1:n ehkä murtavat nyt) kerron jo nyt että vastustan noita aikoja, ovat tarpeettoman tiukat. Voisi olla 2017 alkaen kuten valtaselaimilla. (Chromessa 2016 loppuun voimassa olevat sha1 varmenteet ovat ok)
      Päätös:Operaattori esitti, että uusitaan vain HTTPS-päätepisteiden varmenteet vuoden 2016 toiseen vuosinejännekseen mennessä. 17 / 27 osallistujaa kannattaa päätöstä. Kukaan ei vastustanut. Päätettiin, että HTTPS-varmenteet täytyy vaihtaa viimeistään vuoden 2016 toisella vuosineljänneksellä. Päätettiin, että SAML-viestin varmenteita ei vaihdeta samassa aikataulussa.

       

       

  6. Muut keskusteluasiat

    • Kirjautumistilastojen kehittäminen
    • Mikael Lindén muistutti eduGain + Geant käyttöönotoista + Tietosuojakäytäntö.
  7. Kokouksen päättäminen
    • Puheenjohtaja päätti kokouksen klo. 15:20

 

 

*********** LOGI

 

Haka tekninen palaveri / 10.09.2015

Osallistujat:

Kari Laalo
Keijo Korte
Sami Silén

Juha Nyholm
Leena Katariina Heino
Pekka Kuronen
Reijo Rosti
Jari Järvinen
Veli-Matti Vimpari
Tero Oinonen
Mikael Linden
Mika Tiainen
Max Österman
Viljo Viitanen
Ismo Lauskari
Heikki Ruhanen
Matti Tiitinen
Jiri Sariola
Mika Salo
Markus Hagman
Katarina Stubbe
Sami Mäkinen
Antto Sierla
Heikki Ruhanen
Janne Lauros
Jouko Rintamäki
Maarit Saaresto
Toni Säämänen
Sami Mäkinen
Mikko Kuja-Lipasti

Kysymykset / kommentit:

FEP:
Mikael Linden: Ei voi merkata. Minun kalenterissani kesäkuussa on vain 30 päivää. :)
Leena Katariina Heino: Tekninen typokorjaus: FEP 2.2:n 2.1 changes osiossa typo funetEduPersoLearnerId, Person sanasta puuttuu n-kirjain
Jari Järvinen: Tekstin muuttaminen siten että viittaus tilastokeskuksen ensisijaisuuten poistetaan?
JY/Viljo Viitanen: (asian vierestä, chättään tässä hakemiston ylläpitäjän kanssa, ainakin JY:llä faculty-arvo saadaan helposti käyttöön.)
Leena Katariina Heino: Pienet tekniset muutokset tai selvennykset kannattaa varmaan tehtä operaattorin toimesta ilman sen suurempaa hyväksymisprosessia.

SHA2:
JY/Viljo Viitanen: eli vastaehdotukseni on että aikaraja olisi Q1/2017. muuten operaattorin esityksen mukaan.
JY/Viljo Viitanen: sha2:sta kommentti: hakassa mukana olevilla ei ole valtiotason uhkaajia toivottavasti (jotka sha1:n ehkä murtavat nyt) kerron jo nyt että vastustan noita aikoja, ovat tarpeettoman tiukat. voisi olla 2017 alkaen kuten valtaselaimilla. (chromessa 2016 loppuun voimassa olevat sha1 varmenteet ovat ok)
Leena Katariina Heino: kun web ja haka-varmenteet on erotettu, niin tuo sha2 muutos on mennyt aika kivuttomasti


Kari kysyy, että halutaanko päivämäärät eriyttää toisistaan?

Operaattori esittää, että uusitaan vaan https-varmenteet vuoden 2016 toiseen vuosinejännekseen mennessä.


Tilastointi:
Kuronen: Miksi tilastoinnin pitäisi olla julkista? Mihin me tarvitaan tilastotietojen julkisuutta. Onko mahdollista rajoittaa kirjautumisella?


=============

Kokous aloitettiin 13:55

Päätettiin:
Puheenjohtaja Kari Laalo
Sihteeri Keijo Korte

Todetaan läsnäolijat:
Todetaan ACP-kokouksen Participants-listan perusteella

Kari Kaalo esitteli uudet muutokset fepissä

Poistetaan viittaus tilastokeskuksen koodistoon ja viitataan omiin koodistoihin

*Esitetään, että uusi fep hyväksytään
Päätös: 18 / 27 kannattaa päätöstä. Kukaan ei vastusta.

*Operaattori esittää, että uusitaan vain https-varmenteet vuoden 2016 toiseen vuosinejännekseen mennessä:
Päätös: 17 / 27 kannattaa päätöstä. Kukaan ei vastusta.

*Onko statistiikka julkista tietoa?

*Voidaanko ajatella, että statistiikkadataan suhtaudutaan avoimesti, voitaisiinko yhteispohjoismaisella yhteistyöllä
Äänestys: 12 / 24 kannatti ajatusta. Kukaan ei vastusta.

Mikael Linden muistutti eduGain + geant käyttöönotosta. Tietosuojakäytäntö.
DigiCert ei voi sitoutua geant tietosuojakäytäntöön koska on amerkkilainen.

Kokous päätettiin 15:20

================== chat-logi

Juha Nyholm: toimii

Leena Katariina Heino: ääni toimii ja kuuluu

Pekka Kuronen: morjensta

Kari Laalo: Terve, Pekka!

Kari Laalo: Lohduttavaa nähdä, että ainakin jonnekin on kokouskutsu mennyt perille

Kari Laalo: Ilmeisesti valtaosa on täsmällisiä ja tulee kahdelta paikalle

Pekka Kuronen: pitäiskö nyt kuulua jonkun puhetta?

Leena Katariina Heino: klassinen akateeminen vartti siis

JY/Viljo Viitanen: Kalvot: https://cdn.rawgit.com/klaalo/Haka-reveal/master/index.html ja agenda: https://confluence.csc.fi/x/-NkXAw

JY/Viljo Viitanen: Ei kirjautumista?

JY/Viljo Viitanen: Eli katsotaanko ip-osoitteita tms

JY/Viljo Viitanen: ok

Mikael Linden: Ei voi merkata. Minun kalenterissani kesäkuussa on vain 30 päivää. :)

 

**** FEP

 

JY/Viljo Viitanen: Missä työpaja on?

Leena Katariina Heino: Tekninen typokorjaus: FEP 2.2:n 2.1 changes osiossa typo funetEduPersoLearnerId, Person sanasta puuttuu n-kirjain

JY/Viljo Viitanen: Nimiattribuuttimuutokset: kosmeettista, ei kovin vakavaa.

Jari Järvinen: Tekstin muuttaminen siten että viittaus tilastokeskuksen ensisijaisuuten poistetaan?

Jari Järvinen: Juuri näin

JY/Viljo Viitanen: kommentti: vuodenvaihde on hyvä aika muutokselle.

Leena Katariina Heino: Pienet tekniset muutokset tai selvennykset kannattaa varmaan tehtä operaattorin toimesta ilman sen suurempaa hyväksymisprosessia.

JY/Viljo Viitanen: (asian vierestä, chättään tässä hakemiston ylläpitäjän kanssa, ainakin JY:llä faculty-arvo saadaan helposti käyttöön.)

JY/Viljo Viitanen: (pystytään siis erottamaan opetus-ja tutkimushenkilökunta muusta henkilökunnasta tarkasti ja ajantasaisesti.)

 

**** SHA2

 

JY/Viljo Viitanen: sha2:sta kommentti: hakassa mukana olevilla ei ole valtiotason uhkaajia toivottavasti (jotka sha1:n ehkä murtavat nyt) kerron jo nyt että vastustan noita aikoja, ovat tarpeettoman tiukat. voisi olla 2017 alkaen kuten valtaselaimilla. (chromessa 2016 loppuun voimassa olevat sha1 varmenteet ovat ok)

Leena Katariina Heino: kun web ja haka-varmenteet on erotettu, niin tuo sha2 muutos on mennyt aika kivuttomasti

JY/Viljo Viitanen: leena: operaattori ehdottaa että molemmissa vaaditaan sha2 2016 toisesta neljänneksestä.

JY/Viljo Viitanen: pitäisi toimia

JY/Viljo Viitanen: eli vastaehdotukseni on että aikaraja olisi Q1/2017. muuten operaattorin esityksen mukaan.

JY/Viljo Viitanen: (JY:lläkin toki on webipuolella sha2-sertit.)

JY/Viljo Viitanen: saml-puolella realisista uhkaa sha1:n käytöstä ei edes ole.

JY/Viljo Viitanen: *realistista

JY/Viljo Viitanen: saml-viesteistä sha2-vaatimuksen voisi kyllä toistaiseksi jättää pois kokonaan.

JY/Viljo Viitanen: jos vain https-puoli, mulle käy vaikka deadline eilen :)

 

***** Tilastot

 

Jari Järvinen: Nykyisellä tasolla?

Pekka Kuronen: vaikea sanoa "tuosta vaan"

JY/Viljo Viitanen: lähinnä niin että se VOI olla julkista, erityisesti lain mukaan ei tuollainen statistiikkatieto ole mitenkään ei-julkista.

Pekka Kuronen: minäkin kysyisin, että miksi sen pitää olla julkista?

JY/Viljo Viitanen: statistiikkatiedot, vaikka olisi vain yksi kirjautuminen, ei yksilöi ketään.

Leena Katariina Heino: voisiko tuohon tehdä jonkun rajan, eli suositut palvelut voisi olla nimettynä ja sitten kategoria "muut"

Mikael Linden: Julkisuuden puolesta: halutaan vakuuttaa joku siitä ettö akateemiset federaatiot on isoja toimijoita

Leena Katariina Heino: Nykyisessä ilmapiirissä on myös todella hyvä mainostaa yliopistojen välistä yhteistyötä ja siihen tuollainen julkinen statistiikka voisi olla kätevä

Jari Järvinen: Kai tuohon louhintaan voi tehdä exclude listan tai anonymoida halutut sp:t

Leena Katariina Heino: kuinka monessa organisaatiossa on tällä hetkellä jo käynnissä shibbe3 käyttöönottoprojekti?

** Kari vastaa, kolmessa - neljässä.

Jari Järvinen: Huomenna yritetään löytää ajankohtaa moiselle

HY Ismo Aulaskari: HY on tulossa

VeM: Savoniassa on vara IdP versiona 3

JY/Viljo Viitanen: Älä korjaa ku ei oo rikki...

JY/Viljo Viitanen: JY:llä edugainiin liittyminen on rullaamassa eteenpäin (toivottavasti ainakin. päällikkötasolla on menossa kuitenkin...)

JY/Viljo Viitanen: (seuraavaksi lienee vuorossa hallintojohtaja ja joku lakimies.)

Leena Katariina Heino: meillä edugain on ajankohtainen heti kun tuo shibbe3 saadaan tuotantoon

Pekka Kuronen: tampereen tavallinen yliopisto :)

JY/Viljo Viitanen: henkilövarmenteet sitä jotain gridiä varten on meilläkin motivaattori

JY/Viljo Viitanen: muistaakseni joku fyysikkoporukka noita tarvisi, joten asia alkoi edetä, kun sille on "business"-tarve (joka tuli sieltä business-eli tiede-puolelta)

JY/Viljo Viitanen: kun yksittäinen ylläpitäjä asiaa yritti vielä päällikkötasolle, mitään ei tapahtunut. (en ollut yllättynyt.)

Leena Katariina Heino: hyvä olla osio "tunnetut karikot shibbe3 säädössä"

JY/Viljo Viitanen: olihan kuitenkin niin että shib2 osaa kuitenkin oletuksena validoida sha2-allekirjoitukset saml-viesteissä?

Pekka Kuronen: kiitokset

Juha Nyholm: Kiitos!

Antto Sierla: Kiitos!

Heikki Ruhanen: Kiitos

JY/Viljo Viitanen: hyvin sujunut connect-kokous. harvinaista ;)

Leena Katariina Heino: kiitos, kokous sujui mallikkaaksi

Jari Järvinen: Kokoustaminen näin järkevämpää kun lähteä parin tunnin takia matkustelemaan

JY/Viljo Viitanen: todellakin

JY/Viljo Viitanen: voisko shib3-työpajaa harkita connect-sessiona?

Jari Järvinen: Juuri samaa meinasin kysyä

JY/Viljo Viitanen: (jyväskylästäkin, vaikka helposti pääsee stadiin, kestää silti ihan sen verran ettei ihan mielikseen matkustele.)

Leena Katariina Heino: Tampereeltakin pääsee nopeasti helsinkiin, mutta jos tämä kokous olisi ollut siellä olisin istunut enemmän aikaa junassa kuin kokouksessa

JY/Viljo Viitanen: me ollaan tehty JY:ssä tosi paljon myös työpaja-tyyppistä hommaa connectilla. siinä lähinnä ruutujen pikseliresot ja tekstin luettavuus ovat olleen haaste.

JY/Viljo Viitanen: (-> fontti pitää laittaa isolla...)

Jari Järvinen: Meilläkin shib3:sen asennukseen liittyy useampi henkilö joten kaikkien kömpimnen CSC:lle on jo melkoinen ponnistus

JY/Viljo Viitanen: maanantai on siitä ikävä että jos aloitetaan aamulla, on jopa JKL:stä käytännössä pakko tulla edellisenä päivänä, eikä se nyt oikein sitten kiinnosta, eikä varmaan työnantajakaan hotelleja ja päivärahoja jne kustanna

JY/Viljo Viitanen: (ja siis on jotenkin tylsää lähteä sunnuntaina liikkeelle työasioiden takia...)

 

 

  • No labels