Doorvoeren verplichting 2-zijdig- TLS voor CGI of SOAP-aansluitingen DigiD

We hebben op 23 november 2022 een bericht gepubliceerd over de verplichting van 2-zijdig TLS voor CGI of SOAP-aansluitingen. Deze wijziging gaan we nu doorvoeren.

2-zijdig TLS

Vanaf 14 augustus 2023 wordt deze verplichting op productieomgeving van DigiD doorgevoerd. Wij adviseren u uw CGI of SOAP-aansluiting voor te bereiden op 2-zijdig TLS en deze te testen op de preproductieomgeving. Op 5 juni 2023 wordt 2-zijdig TLS toegepast op de preproductieomgeving en dient u uw aansluiting te testen op de werking. Als u een SAML-aansluiting heeft hoeft u niets te doen, want daarvoor geldt de verplichting al.

U kunt 2-zijdig TLS toepassen door de volgende stappen te doorlopen:

• Zorg dat u een PKIo private root CA - G1 certificaat hebt op naam van uw organisatie (met daarin uw OIN). 
• Maak uw aansluiting gereed op de preproductieomgeving voor gebruik van dit PKIo Private Root CA - G1 certificaat als TLS client certificaat (2-zijdig TLS).
• Voor meer informatie verwijzen wij u naar de Factsheet - 2-zijdig TLS voor DigiD aansluitingen.
• Voer de wijziging door volgens uw planning en test uw aansluiting. 
• Bij een succesvolle wijziging op uw preproductieomgeving, dient u deze op dezelfde wijze vóór 14 augustus 2023 ook op de productieomgeving doorvoeren. 

Uitfasering Ciphersuites

Tijdens het onderhoud op zowel preproductieomgeving als productieomgeving zullen de verouderde ciphersuites worden uitgefaseerd. Het betreft de volgende ciphersuites:

TLS_RSA_WITH_AES_128_GCM_SHA256 

TLS_RSA_WITH_AES_256_GCM_SHA384 

TLS_RSA_WITH_AES_128_CBC_SHA 

TLS_RSA_WITH_AES_128_CBC_SHA256 

TLS_RSA_WITH_AES_256_CBC_SHA 

TLS_RSA_WITH_AES_256_CBC_SHA256 

Zorg ervoor dat u een van de ciphersuites gebruikt conform de NCSC richtlijnen.

Addendum op de A-select koppelvlakspecificaties

De verplichting van 2-zijdig TLS op de A-select aansluitingen wordt doorgevoerd door middel van een addendum op de koppelvlakspecificaties. Via de aansluitvoorwaarden zijn de koppelvlakspecificaties bindend. Bekijk het addendum met de wijziging naar 2-zijdig TLS.

Vragen

Heeft u een vraag over uw aansluiting of deze wijziging, dan kunt u die stellen via het algemeen contactformulier.