Haka-metadatan varmenne vaihtuu
Haka-metadatan varmentamisessa käytettävä varmenne vaihtuu. Allekirjoitusavain pysyy ennallaan, vain varmenne päivitetään ennen voimassaolon päättymistä. Muutoksella ei ole teknisesti vaikutusta SAML-määritysten mukaisesti toimiviin SAML-tuotteisiin. Haka- operaattori suosittelee ja SAML-määritykset edellyttävät, että Haka- metadataan luottavat osapuolet käyttävät metadatan allekirjoituksen tarkastamisessa ajantasaista varmennetta. Metadataan luottava on myös velvollinen noudattamaan varmentajan julkaisemaa varmennepolitiikkaa. Hakassa käytetään Digi- ja väestötietoviraston (DVV) varmennepalvelun varmennetta.
25.3.2026 lähtien julkaistaan kaksi metadataa rinnakkain, jotka eroavat toisistaan vain allekirjoituksessa käytetyn varmenteen osalta. Rinnakkainen, uudella varmenteella allekirjoitettu metadata löytyy osoitteesta:
https://haka.funet.fi/metadata/haka-metadata-v10.xml
Vanha varmenne on päättymässä 22.4.2026. Tähän päivään mennessä Haka-metadataan luottavien on varmistettava, että käytössä on uusi metadata polku https://haka.funet.fi/metadata/haka-metadata-v10.xml ja uusi varmenne.
Yksityiskohdat metadatan jakelusta ja kulloinkin voimassaolevat varmenteet löytyvät Haka Wikistä: https://wiki.eduuni.fi/display/CSCHAKA/Metadata
Aikajana lyhyesti:
25.3.2026
Uusi varmenne ja metadata julkaistaan ajalla 25.3.2026- 21.4.2026 rinnakkain.
25.3.-21.4.2026
Konfiguroi palvelusi käyttämään uutta varmennetta ja uutta metadata osoitetta.
Uusi varmenne toimii vanhan metadatan kanssa.
22.4.2026
alkaen Haka-metadat julkaistaan vain uudella varmenteella osoitteessa: https://haka.funet.fi/metadata/haka-metadata-v10.xml
Lisätietoja: haka@csc.fi
The certificate used for validating Haka metadata is changing.
The signing key will remain the same, only the certificate will be updated before its expiration. Technically, this change does not affect SAML products that operate according to SAML specifications. The Haka operator recommends—and the SAML specifications require—that all parties relying on Haka metadata use an up‑to‑date certificate when verifying the metadata signature. Parties relying on the metadata are also obligated to follow the certificate policy published by the certificate authority. Haka uses the certificate issued by the Certificate Service of the Digital and Population Data Service agency.
Starting 25 March 2026, two metadata files will be published in parallel, differing only in the certificate used for signing. The parallel metadata signed with the new certificate can be found at:
https://haka.funet.fi/metadata/haka-metadata-v10.xml
The old certificate is expiring on 22 April 2026. By this date, all parties relying on Haka metadata must ensure they are using the new metadata path https://haka.funet.fi/metadata/haka-metadata-v10.xml and the new certificate.
Details on metadata distribution and currently valid certificates can be found in the Haka Wiki:
https://wiki.eduuni.fi/x/RIigAQ
Timeline summary:
25 March 2026
New certificate and metadata are published and available in parallel with the old one from 25 March 2026 to 21 April 2026.
25 March – 21 April 2026
Configure your service to use the new certificate and new metadata URL.
The new certificate is compatible with the old metadata.
From 22 April 2026 onward
Haka metadata will be published only with the new certificate at:
https://haka.funet.fi/metadata/haka-metadata-v10.xml
For more information: haka@csc.fi