Update uitgifte servercertificaten

04-09-2019

Update 4 september 2019 19:25

Uit nader onderzoek van de Policy Authority PKIoverheid is gebleken dat een aantal certificaten dat in de zorgsector gebruikt wordt voor de verloopdatum vervangen moeten worden. Initieel zouden deze certificaten via natuurlijk verloop worden uitgefaseerd tot en met 2020.

De deadline voor het vervangen van de certificaten gesteld op 1 oktober.

De certificaatverstrekkers informeren de organisaties waarvan de certificaten vervangen moeten worden. De internationale gemeenschap is hiervan door Logius op de hoogte gesteld.

 


Update 14 mei 2019 14:00

Inmiddels is de vervanging van de PKIoverheid-certificaten die niet voldoen aan één van de strenger uitgelegde uitgifte-eisen gestart. Op het vervangingsplan dat hiervoor is opgesteld, zijn vanuit de internationale gemeenschap geen bezwaren gekomen.

De uitvoering van het vervangingsplan verloopt voorspoedig. Inmiddels zijn alle tussenliggende certificaten vervangen en is de certificaatverstrekkers gevraagd te starten met het vervangen van de in het vervangingsplan opgenomen servercertificaten. Certificaten die niet in scope van het vervangingsplan zitten, worden door de certificaatverstrekker gemonitord op gebruik in (publiek) webverkeer. Mocht dit geconstateerd worden, dan worden deze alsnog in het vervangingsplan opgenomen.

De verwachting is dat eind 2019 de betreffende certificaten vervangen zijn.

De certificaatverstrekkers nemen contact op met de organisaties waarvan de certificaten de komende maanden vervangen gaan worden.

 


Update vrijdag 29 maart 17:00

Logius heeft een plan opgesteld voor het vervangen van de certificaten die niet voldoen aan de strengere uitleg van de uitgifte-eisen. In het vervangingsplan wordt uitgegaan van 11 tussenliggende en ongeveer 3900 onderliggende certificaten. Het vervangen van de certificaten neemt naar verwachting maximaal 8 maanden in beslag.

Het uitgangspunt van het plan is dat alleen certificaten die gebruikt worden voor (publiek) webverkeer vervangen worden. Certificaten die niet voor (publiek) webverkeer gebruikt worden (inclusief persoonsgebonden certificaten) laat Logius niet vervangen. Het gaat hier bijvoorbeeld om certificaten voor interne omgevingen of certificaten die gebruik worden voor machine tot machine communicatie.

Voor het vervangingsplan wordt momenteel in internationaal verband draagvlak gezocht.

De certificaatverstrekkers informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten worden.

 


Update vrijdag 22 maart 16:20 uur

Logius is na onderzoek voornemens maximaal 22.000 certificaten voor de verloopdatum te laten vervangen, aangezien ze niet voldoen aan de strenger uitgelegde uitgifte-eisen. Daarnaast moeten maximaal 14 tussenliggende certificaten worden vervangen.

Op dit moment werkt Logius aan een plan voor de vervanging van de certificaten. Logius streeft ernaar binnen 14 maanden deze certificaten te laten vervangen. Deze tijd is nodig vanwege het grote aantal nieuw uit te geven certificaten en de zorgvuldige procedure die voor de uitgifte van certificaten geldt.

Voor het vervangingsplan en de termijn wordt in internationaal verband draagvlak gezocht. Het kunnen uitvoeren van het beoogde vervangingsplan en de daarbij behorende aantallen te vervangen certificaten, is namelijk afhankelijk van acceptatie door de internationale gemeenschap.

De vervanging wordt gefaseerd uitgevoerd, waarmee de uitvoerbaarheid en zorgvuldigheid worden gewaarborgd.

De certificaatverstrekkers informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten worden.

Wij benadrukken dat de veiligheid van de certificaten niet in geding is. Iedereen kan veilig online zaken blijven doen met de overheid.

 


Update dinsdag 19 maart 19:00 uur

Uit eerder onderzoek van Logius is gebleken dat er in Nederland PKIoverheid-certificaten zijn uitgegeven die niet aan de gestelde eisen voldoen. Nader onderzoek heeft uitgewezen dat dit twee Trust Service Providers (TSP’s) treft. Het onderzoek naar het precieze aantal certificaten loopt nog.

Organisaties die in bezit zijn van PKIoverheid-certificaten die niet aan de gestelde eisen voldoen, worden benaderd door hun certificaatverstrekker.

Logius wil benadrukken dat er geen sprake is van een beveiligingsrisico. De kans dat de getroffen certificaten vervalst kunnen worden, is zeer klein. De betrouwbaarheid van deze certificaten en de online diensten die gebruikmaken van deze certificaten is dan ook niet in het geding.


Update vrijdag 15 maart 16.30 uur

Logius onderzoekt op dit moment het aantal PKIoverheid-certificaten dat daadwerkelijk is geraakt. Zodra meer bekend is volgt meer informatie.


Bericht woensdag 13 maart 17.00 uur

Op maandag 11 maart werd bij Logius als Policy Authority (PA) voor PKIoverheid-certificaten bekend dat een reeks uitgegeven servercertificaten wellicht niet voldoet aan de vastgestelde eisen.

Logius heeft als Policy Authority (PA) naar aanleiding van dit inzicht nader onderzoek gedaan en komt tot de conclusie dat deze certificaten inderdaad niet voldoen. In Nederland raakt dit één van de Trust Service Providers (TSP) die PKIoverheid-certificaten heeft uitgegeven. Deze certificaten zijn uitgegeven in de periode van 30 september 2016 tot 5 maart 2019. Logius heeft deze TSP opgedragen de betreffende certificaten in te trekken.

Er is geen sprake van een beveiligingsrisico. De veiligheid van het stelsel blijft gewaarborgd.

Logius vervult de rol van Policy Authority (PA) op het PKIoverheid-stelsel en houdt toezicht op veilig internetverkeer. Vanuit deze rol toetst Logius de bevindingen van onafhankelijke audits op het stelsel en spreekt TSP’s aan wanneer er een incident blijkt.

PKIoverheid-certificaten worden o.a. gebruikt om een webpagina, e-mail of document te beveiligen en vormen hiermee een onmisbare schakel in beveiligd internetverkeer en worden zowel binnen de publieke sector als tussen publieke sector en bedrijfsleven toegepast.

Gerelateerde dienst