2026-01-26
Fullmaktskollen använder mTLS (mutual TLS) för säker och identifierad kommunikation mellan anslutna aktörer och plattformen. Vid mTLS identifieras den anropande parten med ett klientcertifikat.
I samband med uppdateringar av TLS-plattformar och ökad tillämpning av moderna säkerhetskrav ställs idag tydligare krav på certifikatets avsedda användning.
Tidigare har många klientcertifikat:
- saknat uttrycklig märkning för klientautentisering
- fungerat ändå, eftersom äldre TLS-implementationer tolkade certifikat mer generöst
I moderna TLS-miljöer krävs däremot att ett klientcertifikat explicit anger att det är avsett för klientautentisering. Detta anges i certifikatet via egenskapen Extended Key Usage (EKU).
Certifikat som saknar denna markering, eller som är avsedda för andra ändamål (t.ex. serverautentisering), kan inte längre användas för mTLS-anslutning mot Fullmaktskollen.
Beställ rätt klientcertifikat
Vid beställning eller utfärdande av nytt klientcertifikat för anslutning till Fullmaktskollen ska ni säkerställa att följande anges i certifikatprofilen:
Obligatoriskt
- Extended Key Usage (EKU):
- TLS Web Client Authentication
- Key Usage:
- Digital Signature
Rekommenderat
- Ett certifikat per aktör/system
- Tydlig identitet i Subject eller SAN (t.ex. organisationsnamn eller systemnamn)
- Rimlig giltighetstid och etablerad rutin för förnyelse
Fullmaktskollen tillåter självsignerade klientcertifikat, förutsatt att ovanstående krav är uppfyllda.
Kontroll av certifikat
Ni kan själva kontrollera att certifikatet innehåller korrekt EKU med exempelvis:
openssl x509 -in client-cert.pem -noout -ext extendedKeyUsageUtdata ska innehålla:
TLS Web Client AuthenticationSammanfattning
För att kunna ansluta till Fullmaktskollen med mTLS krävs att klientcertifikatet uttryckligen är avsett för klientautentisering. Säkerställ därför att rätt inparametrar anges redan vid beställning av certifikatet.