Logius onderzoekt certificaten die niet voldoen aan de afgesproken richtlijnen

30-07-2020

 

Update: 30 juli 2020

Logius en de TSP’s zijn gestart met de uitvoering van het actieplan om alle certificaten weer te laten voldoen aan internationale afspraken. Uit de internationale community (CA/Browserforum) zijn momenteel geen bezwaren naar voren gekomen op de Nederlandse aanpak.

Logius heeft haar root (EV-PKIo) met bijbehorende certificaten (OV) aangepast. Op basis van deze certificaten kunnen TSP’s eindgebruikerscertificaten uitgeven die publiek vertrouwd moeten blijven. Publiek vertrouwd betekent dat certificaten geschikt blijven voor gebruik in publiek internetverkeer (denk aan websites).

Certificaten die gebruikt worden voor machine-to-machine moeten worden omgezet naar zogeheten private certificaten. Deze kunnen dan niet gebruikt worden in publiek internetverkeer. Er zullen certificaten zijn die op korte termijn al aan het einde van hun looptijd zijn en vervangen moeten worden. In deze situatie zal de TSP ondersteunen in het vinden van de juiste oplossing.

Certificaatverstrekkers (TSP’s) communiceren de komende periode met hun klanten wat er moet gebeuren. Klanten hoeven dus niet zelf contact op te nemen.

 


Update: 23 juli 2020

Logius heeft een verdere uitwerking van het actieplan om alle certificaten weer te laten voldoen aan internationale afspraken op 22 juli gepubliceerd op het CA/Browser Forum.

Het actieplan zorgt ervoor dat certificaten weer aan de juiste eisen voldoen. Hiervoor zullen in sommige gevallen eindgebruikerscertificaten vervangen moeten worden. Certificaatverstrekkers (TSP’s) zijn direct betrokken bij het uitvoeren van het actieplan. De certificaatverstrekkers nemen in de komende periode contact op met hun klanten als er acties ondernomen moeten worden. Voor klanten: u hoeft dus niet zelf contact op te nemen met uw certificaatverstrekker.

De prognose is dat het vervangingsproces zes maanden zal gaan duren. Belangrijk punt in het actieplan is dat certificaten die gebruikt worden voor machine-to-machine verkeer omgezet moeten worden naar zogeheten private certificaten met een langere geldigheidsduur. Deze kunnen na volledige implementatie van het plan niet gebruikt worden in publiek internetverkeer.

Door de uitgifte van certificaten beter te koppelen aan het daadwerkelijke gebruik zet Logius de volgende stap om de flexibiliteit en robuustheid van het stelsel te vergroten. Hiermee kan ook sneller ingegrepen worden als er een veiligheidsissue is. Het aantal certificaten wat in zo’n geval aangepast of vervangen moet worden is kleiner. Private certificaten hoeven niet te voldoen aan de eisen die browserpartijen eraan stellen, maar voldoen wel aan de eisen vanuit het PKIo-stelsel

Met de publicatie van het actieplan is er internationaal draagvlak gecreëerd voor de Nederlandse aanpak.

 


Update: 8 juli 2020

Logius heeft als Policy Authority (PA) het onderzoek naar de certificaten die niet voldoen aan de afgesproken richtlijnen afgerond. Uit het onderzoek is gebleken dat het 29 (PKIoverheid) intermediate certificaten betreft. Wereldwijd gaat het om 293 intermediate certificaten.

In samenwerking met de certificaatverstrekkers (TSP’s) en in samenspraak met het Nationaal Cyber Security Centrum (NCSC) is een actieplan opgesteld. Dit plan is inmiddels voorgelegd aan het CA/Browser Forum, een vrijwillig consortium van vooral CA’s, zoals PKIoverheid, en browsersoftware leveranciers. Zij zien toe op de richtlijnen en de veiligheid van het PKI ecosysteem waar PKIoverheid deel van uitmaakt.

Uit onze analyse komt naar voren dat de kans op misbruik van de eerdergenoemde foutieve instelling voor het PKIoverheid stelsel nagenoeg nihil is.

Het Nederlandse plan dat aan het CA/Browser Forum is voorgelegd, bestaat uit het implementeren van technische en procedurele maatregelen waarmee het vermeende risico volledig wordt afgedekt. Hiermee hoeven er geen eindgebruikerscertificaten vervangen te worden. Daarnaast worden er 4 intermediate certificaten die niet meer in gebruik zijn ingetrokken.


Update: 7 juli 2020

Op dit moment is Logius, in samenwerking met het NCSC en de certificaatverstrekkers (TSP’s), bezig met het opstellen van een actieplan om alle certificaten volgens de nieuwe inzichten weer aan de afgesproken richtlijn te laten voldoen. Op woensdag 8 juli wordt het actieplan aan de belanghebbende partijen voorgelegd. Hierna wordt weer een update op de website geplaatst.

Op dit moment hoeven gebruikers van certificaten niets te doen. Zodra het actieplan uitgevoerd gaat worden, communiceren certificaatverstrekkers met hun klanten wat er moet gebeuren.


Logius onderzoekt certificaten die niet voldoen aan de afgesproken richtlijnen

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. Logius doet op dit moment samen met de TSP’s (certificaatverstrekkers) en het Nationaal Cyber Security Centrum (NCSC) nader onderzoek naar de Nederlandse situatie om tot een goede oplossing te komen.

Updates over de voortgang en aanpak zullen op deze pagina worden gepubliceerd.

Achtergrondinformatie

Logius vervult de rol van Policy Authority (PA) op het PKIoverheid-stelsel en houdt toezicht op veilig internetverkeer. Vanuit deze rol toetst Logius de bevindingen van onafhankelijke audits op het stelsel en spreekt TSP’s aan wanneer er een incident blijkt. PKIoverheid-certificaten worden o.a. gebruikt om een webpagina, e-mail of document te beveiligen en vormen hiermee een onmisbare schakel in beveiligd internetverkeer. Certificaten worden zowel binnen de publieke sector als tussen publieke sector en bedrijfsleven toegepast.

Gerelateerde dienst