HelseID – Sikkerhetsoppdatering

Scheduled for Jun 10, 16:30 - 18:00 CEST

Update

Saksnummer: #933259
Den 10. Juni 2025 vil HelseID gjennomføre sikkerhetsoppdateringen som lukker sårbarhet i OpenID Connect.

Som tidligere annonsert er dette en brekkende endring som vil kreve tilpasninger (i kode eller konfigurasjon) i alle klientsystemer. Klienter som ikke oppfyller de nye kravene vil bli avvist når denne versjonen av HelseID er produksjonssatt.

Detaljerte beskrivelser ligger i NHNs utviklerportal:
Norsk: https://utviklerportal.nhn.no/informasjonstjenester/helseid/saarbarhet-i-openid-connect/
English: https://utviklerportal.nhn.no/en/information-services/helseid/vulnerability-in-openid-connect/
Posted May 06, 2025 - 13:29 CEST

Scheduled

Saksnummer: #933259

I januar offentliggjorde OpenID foundation en sårbarhet i I OpenID Connect. Detaljer om sårbarheten kan leses her: https://www.ietf.org/archive/id/draft-jones-oauth-rfc7523bis-00.html

Som følge av dette er HelseIDs krav til "Bruk av client assertion for klientautentisering" oppdatert, med nye krav til aud-claimet og typ-headeren. Detaljerte beskrivelser ligger i NHNs utviklerportal:
Norsk: https://utviklerportal.nhn.no/informasjonstjenester/helseid/saarbarhet-i-openid-connect/
Engelsk: https://utviklerportal.nhn.no/en/information-services/helseid/vulnerability-in-openid-connect/

Dette er en brekkende endring som vil kreve tilpasninger (i kode eller konfigurasjon) i alle klientsystemer. Klienter som ikke oppfyller de nye kravene vil bli avvist når denne versjonen av HelseID er produksjonssatt.

For å ivareta forutsigbarhet og driftssikkerhet for alle berørte konsumenter varsles denne endringen tidlig. Det er derfor sannsynlig at eksakt dato kan endres i løpet av våren. Vi vil innen 01.05.2025 oppdatere denne varslingen med dato for gjennomføring.
Posted Mar 03, 2025 - 13:24 CET
This scheduled maintenance affects: HelseID.