Main content
Update 8 januari 2020 16:00 uur
Voor de deadline van 1 oktober is er voor enkele certificaten uitstel aangevraagd en verleend tot eind november 2019. De overige certificaten zijn voor 1 oktober ingetrokken.
Per 1 december 2019 zijn alle certificaten ingetrokken en vervangen. Er is gedurende de periode van maart tot december geen sprake geweest van een beveiligingsrisico en de veiligheid van het stelsel bleef gewaarborgd.
Mocht u meer willen weten over PKIoverheid-certificaten, kijk dan hier: https://www.logius.nl/diensten/pkioverheid
Update 3 oktober 2019 15:00 uur
Eerder dit jaar is geconstateerd dat er PKIoverheid-certificaten waren die niet (meer) voldeden aan internationaal gestelde eisen. De datum om de betreffende certificaten in te trekken is destijds gesteld op 1 december 2019. De urgentie is door de browserpartijen verhoogd, waardoor de deadline op 1 oktober 2019 is gesteld.
In de aanloop naar de datum van de deadline, zijn de certificaatgebruikers meermaals gewezen op de uiterlijke vervangingsdatum en de risico’s wanneer actie uitblijft, zowel door certificaatverstrekkers als het NCSC.
Van de 3900 certificaten in het vervangingsplan is het merendeel uitgegeven en geïnstalleerd. Voor 278 certificaten is uitstel aangevraagd en verleend. Voor 302 certificaten is er geen reactie ontvangen en is er ook geen uitstel aangevraagd. De certificaatverstrekker is gevraagd deze certificaten ook in te trekken. De vervangende certificaten hiervoor zijn al wel uitgegeven door de certificaatverstrekker en deze hoeven in principe alleen geïnstalleerd te worden door de certificaatgebruiker.
Wat voor certificaat gebruikt mijn organisatie?
Indien voor u niet duidelijk is welk type certificaat u gebruikt of u wilt hier meer informatie over ontvangen dan adviseren wij u contact op te nemen met uw certificaatverstrekker.
Lees alle wijzigingen op https://logius.nl/diensten/pkioverheid/pkioverheid-update.
Update 4 september 2019 19:25 uur
Uit nader onderzoek van de Policy Authority PKIoverheid is gebleken dat een aantal certificaten dat in de zorgsector gebruikt wordt voor de verloopdatum vervangen moeten worden. Initieel zouden deze certificaten via natuurlijk verloop worden uitgefaseerd tot en met 2020.
De deadline voor het vervangen van de certificaten gesteld op 1 oktober. De certificaatverstrekkers informeren de organisaties waarvan de certificaten vervangen moeten worden. De internationale gemeenschap is hiervan door Logius op de hoogte gesteld.
Update 14 mei 2019 14:00 uur
Inmiddels is de vervanging van de PKIoverheid-certificaten die niet voldoen aan één van de strenger uitgelegde uitgifte-eisen gestart. Op het vervangingsplan dat hiervoor is opgesteld, zijn vanuit de internationale gemeenschap geen bezwaren gekomen.
De uitvoering van het vervangingsplan verloopt voorspoedig. Inmiddels zijn alle tussenliggende certificaten vervangen en is de certificaatverstrekkers gevraagd te starten met het vervangen van de in het vervangingsplan opgenomen servercertificaten. Certificaten die niet in scope van het vervangingsplan zitten, worden door de certificaatverstrekker gemonitord op gebruik in (publiek) webverkeer. Mocht dit geconstateerd worden, dan worden deze alsnog in het vervangingsplan opgenomen.
De verwachting is dat eind 2019 de betreffende certificaten vervangen zijn. De certificaatverstrekkers nemen contact op met de organisaties waarvan de certificaten de komende maanden vervangen gaan worden.
Update vrijdag 29 maart 17:00 uur
Logius heeft een plan opgesteld voor het vervangen van de certificaten die niet voldoen aan de strengere uitleg van de uitgifte-eisen. In het vervangingsplan wordt uitgegaan van 11 tussenliggende en ongeveer 3900 onderliggende certificaten. Het vervangen van de certificaten neemt naar verwachting maximaal 8 maanden in beslag.
Het uitgangspunt van het plan is dat alleen certificaten die gebruikt worden voor (publiek) webverkeer vervangen worden. Certificaten die niet voor (publiek) webverkeer gebruikt worden (inclusief persoonsgebonden certificaten) laat Logius niet vervangen. Het gaat hier bijvoorbeeld om certificaten voor interne omgevingen of certificaten die gebruik worden voor machine tot machine communicatie.
Voor het vervangingsplan wordt momenteel in internationaal verband draagvlak gezocht. De certificaatverstrekkers informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten worden.
Update vrijdag 22 maart 16:20 uur
Logius is na onderzoek voornemens maximaal 22.000 certificaten voor de verloopdatum te laten vervangen, aangezien ze niet voldoen aan de strenger uitgelegde uitgifte-eisen. Daarnaast moeten maximaal 14 tussenliggende certificaten worden vervangen.
Op dit moment werkt Logius aan een plan voor de vervanging van de certificaten. Logius streeft ernaar binnen 14 maanden deze certificaten te laten vervangen. Deze tijd is nodig vanwege het grote aantal nieuw uit te geven certificaten en de zorgvuldige procedure die voor de uitgifte van certificaten geldt.
Voor het vervangingsplan en de termijn wordt in internationaal verband draagvlak gezocht. Het kunnen uitvoeren van het beoogde vervangingsplan en de daarbij behorende aantallen te vervangen certificaten, is namelijk afhankelijk van acceptatie door de internationale gemeenschap.
De vervanging wordt gefaseerd uitgevoerd, waarmee de uitvoerbaarheid en zorgvuldigheid worden gewaarborgd. De certificaatverstrekkers informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten worden. Wij benadrukken dat de veiligheid van de certificaten niet in geding is. Iedereen kan veilig online zaken blijven doen met de overheid.
Update dinsdag 19 maart 19:00 uur
Uit eerder onderzoek van Logius is gebleken dat er in Nederland PKIoverheid-certificaten zijn uitgegeven die niet aan de gestelde eisen voldoen. Nader onderzoek heeft uitgewezen dat dit twee Trust Service Providers (TSP’s) treft. Het onderzoek naar het precieze aantal certificaten loopt nog.
Organisaties die in bezit zijn van PKIoverheid-certificaten die niet aan de gestelde eisen voldoen, worden benaderd door hun certificaatverstrekker. Logius wil benadrukken dat er geen sprake is van een beveiligingsrisico. De kans dat de getroffen certificaten vervalst kunnen worden, is zeer klein. De betrouwbaarheid van deze certificaten en de online diensten die gebruikmaken van deze certificaten is dan ook niet in het geding.
Update vrijdag 15 maart 16.30 uur
Logius onderzoekt op dit moment het aantal PKIoverheid-certificaten dat daadwerkelijk is geraakt. Zodra meer bekend is volgt meer informatie.
Bericht woensdag 13 maart 17.00 uur
Op maandag 11 maart werd bij Logius als Policy Authority (PA) voor PKIoverheid-certificaten bekend dat een reeks uitgegeven servercertificaten wellicht niet voldoet aan de vastgestelde eisen.
Logius heeft als Policy Authority (PA) naar aanleiding van dit inzicht nader onderzoek gedaan en komt tot de conclusie dat deze certificaten inderdaad niet voldoen. In Nederland raakt dit één van de Trust Service Providers (TSP) die PKIoverheid-certificaten heeft uitgegeven. Deze certificaten zijn uitgegeven in de periode van 30 september 2016 tot 5 maart 2019. Logius heeft deze TSP opgedragen de betreffende certificaten in te trekken.
Er is geen sprake van een beveiligingsrisico. De veiligheid van het stelsel blijft gewaarborgd.
Logius vervult de rol van Policy Authority (PA) op het PKIoverheid-stelsel en houdt toezicht op veilig internetverkeer. Vanuit deze rol toetst Logius de bevindingen van onafhankelijke audits op het stelsel en spreekt TSP’s aan wanneer er een incident blijkt. PKIoverheid-certificaten worden o.a. gebruikt om een webpagina, e-mail of document te beveiligen en vormen hiermee een onmisbare schakel in beveiligd internetverkeer en worden zowel binnen de publieke sector als tussen publieke sector en bedrijfsleven toegepast.