Organisationscertifikat
För åtkomst till SPAR via pgm-pgm krävs att kunden använder sig av organisationscertifikat enligt X.509-standarden. Organisationscertifikat utfärdas av en godkänd utställare (CA, Certification Authority).
För närvarande accepteras endast organisationscertifikat utfärdade av Expisoft, för beställning se Beställa.
Koppla organisationscertifikat till SPAR
För att ett utställt organisationscertifikat ska kunna användas med SPAR behöver SPAR kundtjänst få tillgång till certifikatets publika nyckel. Mer information om detta finns under Publik nyckel.
Byte av organisationscertifikat
Ett utställt organisationscertifikat har normalt en giltighetstid på två år. Ett tillstånd för att ta ut uppgifter ur SPAR kan vara giltigt i upp till fem år. När ett organisationscertifikat ska bytas måste SPAR:s kundtjänst kontaktas för att det nya organisationscertifikatet ska kopplas till kunden.
Stöd för kryptografiska protokoll
För närvarande finns endast stöd för TLS med version 1.2. I tillägg stöds endast chiffersviterna enligt nedan
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)
TLS-handskakning
Vid start av kommunikationen identifierar sig kunden först med angivet organisationscertifikat. Därefter, enligt vad som framgår för respektive tjänst, identifierar sig eventuellt kunden ytterligare med bland annat kundnummer och organisationsnummer.
Av säkerhetsskäl kräver datalänken som pgm-pgm använder, att en TLS-omförhandling genomförs omedelbart efter etablerad session. Ett fåtal inkommande datapaket accepteras, innan omförhandling skall vara genomförd. Vid filöverföring kan detta fönster överskridas, varför filer bör skickas till SPAR med HTTPS POST anrop enligt: Expect 100 Continue-förhandling. Detta sker automatiskt med klientprogramvaran cURL.
För information om Expect 100 Continue-förhandling, se RFC 2616, kap 8.2.3 och 10.1.1.
För TLS omförhandling, se RFC 5246, kap 7.4.1.1.