Main content

Logius heeft als Policy Authority van PKIoverheid een infographic ontwikkeld waarmee u inzicht kunt krijgen in de veranderingen die binnen het PKIoverheid-stelsel plaatsvinden. Onderzoek zelf (met uw technische collega’s of leverancier) hoe de situatie bij u is. Als u vragen heeft over wat op uw situatie van toepassing is, neem contact op met uw certificaatverstrekker.

Downloads:

Deze infographic is een vereenvoudigde weergave, niet alle technische aspecten en details komen aan bod. Aan de infographic kunnen geen rechten worden ontleend.

Hoofdlijnen PKIoverheid veranderingen

1. Let op: PKIoverheid verandert

Met behulp van deze infographic kunt u inzicht krijgen in de veranderingen die er binnen de PKIoverheidinfrastructuur plaatsvinden. Onderzoek zelf (met uw technische collega’s of leverancier) hoe de situatie bij u is. Deze infographic is een vereenvoudigde weergave, niet alle technische aspecten en details komen aan bod. Aan deze infographic kunnen geen rechten worden ontleend.

2. Beknopt overzicht van veranderingen

Om alle certificaten weer aan de internationale richtlijnen te laten voldoen is een vervangingsplan opgesteld. Dat plan hebben we in deze infographic samengevat.

  1. Certificaatverstrekkers vervangen alle EV-eindcertificaten onder de EV-root door OV-eindcertificaten onder hetzelfde stamcertificaat, de EV-root. Dit is inmiddels uitgevoerd.
     
  2. Certificaatverstrekkers en de certificaathouders vervangen in samenwerking alle OV-eindcertificaten onder de publieke G3-root. Deze vervangen zij, afhankelijk van de situatie:
    a. webverkeer (HTTPS)
    Eindcertificaten die dienen voor het beveiligen van webverkeer worden overgezet naar publieke CA2020 eindcertificaten onder de EV-root.

    b. machine-naar-machineverkeer
    Eindcertificaten die alleen dienen voor machine-naar-machineverkeer worden overgezet naar private eindcertificaten onder de G1-root. Er kan ook worden gekozen om tijdelijk gebruik te maken van publieke CA2020 eindcertificaten onder de EV-root.
     

  3. Logius verzoekt vanuit de rol als Policy Authority (PA) de browsers om de G3-Root uit de Browser Trust stores terug te trekken.

3. Scenario’s certificaatvervanging

Onderstaand ziet u drie veelvoorkomende locaties in digitale dienstverlening waar certificaten gebruikt worden. Per locatie is omcirkeld waar mogelijk certificaten vervangen moeten worden. Onderzoek zelf (met uw technische collega’s of leverancier) hoe de situatie werken.

Verankerd in Webservices

Dit is een mixed use case. Certificaten die gebruikt worden voor machine-naar-machineverkeer (M2M) en Web-services moeten van elkaar gescheiden worden. Neem contact op met uw TSP trust service provider voor meer informatie. Voorbeelden: SAML, Apps, Websites, enz.

Verankerd in infrastructuur

Dit is vooral een infrastructuurketen met veel plaatsen waar het certificaat door verschillende partijen wordt gebruikt, niet wendbaar genoeg als het gaat om het vervangen van certificaten. Voorbeelden: (omgekeerde) volmachten, load-balancers, certificaat pinning etc

Verankerd in software

Software-instellingen moeten worden aangepast om het certificaat te laten werken Voorbeelden: SBR, enz

4. Veelgestelde vragen

Op onze website (logius.nl) verzamelen we antwoorden op vragen die vaak gesteld worden. Die pagina wordt regelmatig bijgewerkt. Staat uw vraag er niet tussen, dan kunt u in de meeste gevallen het beste contact opnemen met uw certificaatverstrekker (de partij waar u uw certificaat gekocht heeft). Zij kunnen u het beste helpen. Wijs ook uw technische collega’s op de factsheet van het Nationaal Cybersecurity Centrum (NCSC).