Hoofdinhoud

De Staatssecretaris van BZK heeft besloten voorlopig geen nieuwe publiek vertrouwde root op te starten, na het verlopen van het huidige publiek vertrouwde Domein Server CA 2020. De overige dienstverlening die onder PKIoverheid valt, wordt ongewijzigd doorgezet.

Vervolg op dit artikel: lees het nieuwsbericht van 13 september 2021

Achtergrond

Deelnemers aan het PKIoverheid-stelsel geven digitale certificaten uit aan overheidsorganisaties en bijvoorbeeld nutsbedrijven, zoals vervoerders en energieleveranciers, maar ook aan ondernemers of zorgaanbieders. De afnemers gebruiken deze certificaten onder meer voor beveiliging van hun websites, voor communicatie tussen systemen en voor diverse passen en smartcards. De hier beschreven veranderingen betreffen enkel de publiek vertrouwde PKIoverheid webserver (SSL/TLS) certificaten.

In 2019 en 2020 waren er incidenten rondom een deel van de PKIoverheid certificaten, namelijk de publiek vertrouwde PKIoverheid webserver (SSL/TLS) certificaten voor websites.

In de zomer van 2020 zijn naar aanleiding van deze incidenten alle publiek vertrouwde webserver (SSL/TLS) certificaten voor websites onder een nieuw PKI-domein (Server CA 2020) uitgegeven. Dit PKI-domein is geldig tot 6 december 2022. Dit betekent dat onder dit PKI-domein tot begin december 2021 nog PKIoverheid webserver (SSL/TLS) certificaten met een geldigheid van een jaar uitgegeven kunnen worden. Na deze datum zullen uitgegeven PKIoverheid webserver (SSL/TLS) certificaten een kortere looptijd dan een jaar hebben.

Evaluatie publiek vertrouwde PKIoverheid webserver (SSL/TLS) certificaten

Gezien de incidenten die zich hebben voorgedaan en de einddatum van het PKI-domein Server CA 2020 heeft een evaluatie plaatsgevonden over het continueren van de publiek vertrouwde PKIoverheid webserver (SSL/TLS) certificaten.

Uit deze evaluatie blijkt dat de Nederlandse overheid op dit moment als enige EU-land publiek vertrouwde (SSL/TLS) certificaten uitgeeft, in andere landen wordt dit gedaan door private ondernemingen. Deze publiek vertrouwde PKIoverheid webserver (SSL/TLS) certificaten vallen onder het regime van de grote browserpartijen. Deze browserpartijen leggen de regels op waaraan deze publiek vertrouwde (SSL/TSL) certificaten moeten voldoen.

Ook blijkt dat de overheid weinig tot geen grip heeft op de browserpartijen en maar met moeite kan voldoen aan de steeds hogere eisen die zij aan certificaatuitgifte stellen. Een stelselverantwoordelijkheid voor PKIoverheid inclusief publiek vertrouwde (SSL/TLS) certificaten, zoals benoemd in de Wet digitale overheid, kan door de overheid dan ook niet worden ingevuld.

Verder is het uitgeven van publiek vertrouwde (SSL/TLS) certificaten binnen het PKIoverheid-stelsel ooit begonnen als beveiligingsmaatregel voor websites. Webbrowsers en de beveiliging van websites stonden destijds nog in de kinderschoenen en de overheid liep voorop in het beveiligen van websites. Browserpartijen hebben echter een snelle ontwikkeling doorgemaakt en zorgen nu zelf voor een volwassen beveiliging. Marktpartijen kunnen de certificaten minstens net zo goed en goedkoper uitgeven dan de overheid. Daarom is het uitgeven van publiek vertrouwde (SSL/TLS) certificaten onder de vlag van PKIoverheid niet meer noodzakelijk. 

Conclusie

Op basis van het voorgaande en in overleg met betrokken partijen is het advies gegeven aan de Staatssecretaris van BZK om na het verlopen van het publiek vertrouwde Domein Server CA 2020 op 6 december 2022, voorlopig geen nieuwe publiek vertrouwde root op te starten. De staatssecretaris heeft dit advies opgevolgd, waarmee het besluit formeel is geworden. De overige dienstverlening die onder PKIoverheid valt, wordt ongewijzigd doorgezet. 

 

Gerelateerde dienst(en)