PKIoverheid-certificaten minder lang geldig

26-03-2018

PKIoverheid-certificaten worden breed gebruikt binnen de digitale overheid voor het beveiligen van websites en verbindingen tussen systemen, zoals bijvoorbeeld DigiD en Digipoort. Tot op heden worden daar voornamelijk publiek vertrouwde PKIoverheid-certificaten gebruikt.

“Publiek vertrouwd” betekent dat het bovenliggende vertrouwensanker (de Root CA) bij softwareleveranciers zoals Microsoft (voor Internet Explorer) en Google (voor Chrome) is aangemeld. Dit betekent dat bezoekers van websites die beveiligd zijn met een PKIoverheid-certificaat, het certificaat automatisch vertrouwen. In ruil daarvoor dient de eigenaar van de Root CA (Logius) te voldoen aan regelgeving zoals deze door softwareleveranciers wordt verplicht gesteld in hun programma.

Eisenpakket uitgebreid

Het eisenpakket van softwareleveranciers is de afgelopen jaren uitgebreid en wordt ook steeds zwaarder. Deze eisen zijn vooral toegespitst op het gebruik van SSL/TLS-certificaten voor het authenticeren en versleutelen van websites (lees meer over SSL/TLS). Logius heeft al in 2013 voorzien dat dat op termijn zal gaan botsen met toepassingen waarvoor PKIoverheid-certificaten binnen de digitale overheid gebruikt worden en heeft daartoe de zogenaamde “Private Root” gecreëerd. De Private Root CA is niet aangemeld bij softwareleveranciers en hoeft dus niet te voldoen aan de door hun gestelde eisen. Uiteraard dienen certificaten uitgegeven onder genoemde hiërarchie wel te voldoen aan de reguliere eisen die er aan PKIoverheid-certificaten worden gesteld.

Twee jaar geldig

Tot op heden waren de nieuwe vereisten vanuit de softwareleveranciers niet of nauwelijks van invloed op de daadwerkelijke eindgebruikers van certificaten. Per 1 maart dit jaar is daar verandering in gekomen. De maximum geldigheidsduur van servercertificaten, mits zij publiekelijk worden vertrouwd, is gemaximaliseerd op 2 jaar (825 dagen, inclusief marge). Dit betekent dat alle nieuw aangevraagde G2 en G3 PKIoverheid-certificaten vanaf die datum nog maar maximaal 2 jaar of 825 dagen geldig zijn. Dit geldt alleen voor servercertificaten. Alle andere typen PKIoverheid certificaten onder de publieke roots blijven dezelfde geldigheid houden, zoals bijvoorbeeld 5 jaar voor persoonsgebonden certificaten. Tevens is het niet meer mogelijk om na 22 maart 2018 G2-certificaten aan te vragen die 2 jaar geldig zijn vanwege het aflopen van het zogenaamde bovenliggende G2 Root CA-certificaat op 25 maart 2020.

Overstappen?

Tevens is per 1 mei 2018 het loggen van publieke PKIoverheid-certificaten verplicht in zgn. Certificate Transparency logs. Ten gevolge hiervan zijn alle uitgegeven PKIoverheid-servercertificaten zichtbaar voor de buitenwereld. In het geval van acceptatie/test- of gesloten omgevingen leidt het verplicht loggen van publieke certificaten mogelijk tot informatielekken. Omdat de verplichting tot logging voortkomt uit de eisen van browsers kan het hier voor bepaalde partijen c.q. use cases verstandig zijn om over te stappen op de Private Root.

Overheden en afnemers die graag gebruik willen blijven maken van 3 jaar geldige PKIoverheid-servercertificaten en/of die vrezen voor informatielekken voor besloten omgevingen worden dus geadviseerd om tijdig over te stappen op de Private Root. Daarbij moet worden aangetekend dat deze niet bruikbaar is voor publieke verkeer over het internet omdat deze niet automatisch vertrouwd wordt door de browsers.

Voor meer informatie kunt u contact opnemen met het servicecentrum Logius.

Gerelateerde dienst