Main content
Op 2 augustus kondigde PKIoverheid aan dat de uitgifte van publiek vertrouwde (SSL/TLS) certificaten gaat stoppen. Alle onder EV / CA2020 uitgegeven certificaten moeten voor 4 december 2022 vervangen zijn. In dit bericht leggen wij u uit wat dit betekent voor uw webdienst en uw aansluiting op DigiD. Bespreek dit met het verantwoordelijke team binnen uw organisatie of met uw leverancier.
- Update 26 januari 2022: tekst aangepast. Er is nu ook een factsheet DV en OV certificaten bij DigiD beschikbaar.
- Update 23 november 2022: Uitstel verplichting 2-zijdig TLS voor CGI of SOAP-aansluitingen toegevoegd.
Wijziging vereisten webdienst en DigiD aansluiting
- DigiD laat per direct de eis vervallen dat het webbrowsercertificaat van uw webdienst een PKIo certificaat moet zijn. Het betreft de eis uit de norm T2 uit de DigiD Checklist Testen.
- Het certificaat van uw aansluiting blijft wel een verplicht PKIo certificaat. Hiervoor dient u een PKIo Private Root CA - G1 certificaat te gebruiken.
- Om gebruikers van uw webdienst meer zekerheid te geven dat de pagina voor het inloggen met DigiD afkomstig is van een BSN gerechtigde organisatie, wordt het gebruik van een .nl domein en DNSSEC verplicht gesteld voor de inlogpagina met DigiD. Voor meer informatie verwijzen wij u naar de Factsheet - Domeinnaam en DNSSEC.
Wat betekent dit voor uw webdienst en uw DigiD aansluiting?
Alle EV / CA2020 certificaten moeten voor 4 december 2022 vervangen zijn. De impact op uw webdienst en DigiD aansluiting is afhankelijk van waar u nu een EV / CA2020 certificaat gebruikt.
U heeft een webbrowser certificaat voor uw webdienst. Wat moet u doen?
- Kies een nieuwe certificaatleverancier op basis van het factsheet van NCSC. Voor aanvullende informatie over type certificaten vanuit DigiD, verwijzen wij u naar de Factsheet - DV en OV certificaten bij DigiD.
- Vervang het certificaat in uw webdienst.
- Verifieer dat de inlogpagina met DigiD op een .nl domein staat en voorzien is van DNSSEC.
- Indien u reeds een .nl domein met DNSSEC heeft, dan voldoet uw webdienst aan de nieuwe vereiste.
- Indien u niet aan de vereiste van .nl domein voldoet, dan moet u minimaal een OV certificaat gebruiken. Voor meer informatie verwijzen wij u naar de Factsheet - DV en OV certificaten bij DigiD.
- Controleer vervolgens uw aansluiting.
U heeft een CGI of SOAP aansluiting. Wat moet u doen?
Vanaf 4 december 2022 geldt voor CGI en SOAP aansluitingen dat een PKIo Private Root CA - G1 certificaat als TLS client certificaat (2-zijdig TLS) verplicht gesteld wordt. U kunt uw aansluiting alvast hierop voorbereiden door de volgende stappen te doorlopen.
Let op: deze verplichting is uitgesteld.
- Zorg dat u een PKIo private root CA - G1 certificaat hebt op naam van uw organisatie (met daarin uw OIN).
- Maak uw aansluiting gereed op de Preproductieomgeving voor gebruik van dit PKIo Private Root CA - G1 certificaat als TLS client certificaat (2-zijdig TLS).
- Voor meer informatie verwijzen wij u naar de Factsheet - 2-zijdig TLS voor CGI koppelvlak.
- Dien deze wijziging van de Preproductieomgeving in bij Logius via het wijzigingsformulier van DigiD.
- Voer de wijziging door volgens uw planning en test uw aansluiting.
- Bij een succesvolle wijziging op uw Preproductieomgeving, kunt u deze op dezelfde wijze ook op de Productieomgeving doorvoeren.
- Heeft u toch een vraag over uw aansluiting of deze wijziging, dan kunt u die stellen via het algemeen contactformulier.
U heeft een SAML of een WSDL aansluiting met een EV / CA2020 certificaat. Wat moet u doen?
Vanaf 10 januari 2022 kunt u géén nieuw EV / CA2020 certificaat meer bij ons indienen, dat mag dan alleen nog maar een PKIo Private Root CA - G1 certificaat zijn. U moet dan de stappen hieronder uitvoeren.
Indien u al gebruik maakt van een PKIo Private Root CA - G1 certificaat in uw aansluiting, dan kunt u uw reguliere planning voor certificaatvervanging aanhouden.
- Zorg dat u een nieuw PKIo Private Root CA - G1 certificaat hebt (met daarin uw OIN) voor zowel Productie als Preproductieomgeving. Dit mag NIET hetzelfde certificaat zijn.
- Voor meer informatie verwijzen wij u naar de Factsheet - SAML certificaten en metadata.
- Dien deze wijziging van de Preproductieomgeving in bij Logius via het wijzigingsformulier van DigiD.
- Voer de wijziging door volgens de planning die u heeft afgestemd met Logius en test uw aansluiting.
- Bij een succesvolle wijziging op uw Preproductieomgeving, kunt u deze op dezelfde wijze ook op de Productieomgeving doorvoeren.
- Heeft u toch een vraag over uw aansluiting of deze wijziging, dan kunt u die stellen via het algemeen contactformulier.
Wanneer kan u uw webdienst en uw DigiD aansluiting wijzigen en wanneer moet dit klaar zijn?
De wijzigingen op uw webdienst en uw DigiD aansluiting kunt u vanaf de volgende momenten doorvoeren:
Wijziging | Moment en wijze van invoering |
---|---|
Vervangen webbrowser certificaat van uw webdienst | De wijziging kunt u doorvoeren zonder tussenkomst van Logius. Het is per direct mogelijk deze wijziging door te voeren. |
Toepassen 2-zijdig TLS op uw CGI of SOAP aansluiting | De wijziging moet u indienen bij Logius via het wijzigingsformulier van DigiD. Vanaf 10 januari 2022 kunt u dit doen met gebruik van een PKIo Private Root CA - G1 certificaat. |
Vervangen certificaten op uw SAML of WSDL aansluiting | De wijziging verloopt conform het reguliere proces en moet u indienen bij Logius via het wijzigingsformulier van DigiD. Vanaf 10 januari 2022 kunt u alléén nog maar PKIo Private Root CA - G1 certificaten via uw metadata indienen. |
U heeft tot uiterlijk 4 december 2022 om deze wijzigingen door te voeren. Ons advies is echter om dit zo snel mogelijk in te plannen. En we adviseren ook om gebruik te maken van het reguliere vervangingsmoment van uw huidige EV / CA2020 certificaat.
Welke certificaatvervangingen gaat DigiD zelf doorvoeren en welke impact heeft dat op uw DigiD aansluiting?
Ook DigiD zal al haar EV / CA2020 certificaten vervangen (voor digid.nl en alle subdomeinen). Alleen de vervanging van het certificaat op het subdomein was.digid.nl heeft impact op uw DigiD aansluiting. Deze wijziging zal van tevoren ook op de preproductieomgeving uitgevoerd worden, zodat u uw DigiD aansluiting kunt testen met het nieuwe certificaat. Wij zullen ruim van tevoren hierover nader communiceren.
Vragen
Heeft u vragen of opmerkingen? U kunt ons bereiken op werkdagen van 8.00 tot 17.00 uur via telefoonnummer 0900 555 4555 (10 ct/m) of via het algemeen contactformulier.