Vervangen PKIoverheid certificaten afgerond
Eerder dit jaar is geconstateerd dat er PKIoverheid certificaten waren die niet (meer) voldeden aan internationaal gestelde eisen. De datum om de betreffende certificaten te wijzigen is destijds gesteld op 1 december 2019. De urgentie is door de browserpartijen verhoogd, waardoor de deadline op 1 oktober 2019 is gesteld.
Voor de deadline van 1 oktober is er voor enkele certificaten uitstel aangevraagd en verleend tot eind november 2019. De overige certificaten zijn voor 1 oktober ingetrokken.
Per 1 december 2019 zijn alle certificaten ingetrokken en vervangen. Er is gedurende de periode van maart tot december geen sprake geweest van een beveiligingsrisico en de veiligheid van het stelsel bleef gewaarborgd.
Programma van Eisen updates
Het Programma van Eisen (PvE) is een document dat niet statisch is, maar dat in de loop van de tijd verder wordt ontwikkeld. Dat kan zijn vanwege veranderde juridische inzichten, veranderingen in de relevante (internationale) standaarden, of door nieuwe technische ontwikkelingen. Ook kan het gebruik van PKI in de praktijk wensen tot verandering van het Programma van Eisen opleveren.
Wijzigingsvoorstellen die zijn ingediend bij en goedgekeurd door PKIoverheid worden hier gepubliceerd. Bij de volgende nieuwe publicatie van het Programma van Eisen worden deze actuele wijzigingen verwerkt in het PvE zelf.
Eisen per 8 februari 2019
Het PvE 4.7 vereist verduidelijking op het gebied van aanstelling van de Gemeentelijke Belastingdeurwaarder. Ter verduidelijking wordt in eis 3.2.5-pkio29 onder artikel c het woordje “Gemeentelijke” toegevoegd zodat deze luidt: “ofwel benoeming door een gemeentesecretaris of burgemeester (geldt alleen voor Gemeentelijke Belastingdeurwaarder)".
Tevens wordt in deel 4 onder de limitatieve lijst voor beroepsgebonden certificaathouders het beroep “Gemeentelijke Belastingdeurwaarder” toegevoegd als nr. 23, separaat van het al bestaande beroep “Belastingdeurwaarder (nr. 20).
Eisen per 29 augustus 2019
Gewijzigde eis 7.1-pkio173
Wordt van toepassing verklaard op delen 3e t/m 3f. De eis luidt:
Het serienummer van alle eindgebruikerscertificaten dient aan de volgende eisen te voldoen:
a) De waarde van het serienummer MAG NIET 0 (nul) zijn
b) De waarde van het serienummer MAG NIET mag niet negatief zijn
c) De waarde van het serienummer MOET uniek zijn binnen de populatie uitgegeven eindgebruikerscertificaten onder een uitgevende TSP CA.
d) Het serienummer MOET een minimale lengte hebben van 96 bits (12 octetten)
e) De waarde van het serienummer MOET minimaal 64 bits aan niet te voorspellen willekeurige data te bevatten
f) Genoemde willekeurige data MOET worden gegenereerd door een CSPRNG (Cryptographically Secure Pseudorandom Number Generator).
g) Het serienummer MAG NIET langer zijn dan 160 bit (20 octets).
Gewijzigde eis 7.1-pkio177
Was van toepassing op delen 3a t/m 3d en 3g t/m 3i maar wordt door de wijziging van alleen nog maar van toepassing op delen 3g t/m 3i
Nieuwe eis 9.17-pkio180
Wordt van toepassing verklaard op delen 3e t/m 3f. De eis luidt:
CA's moeten hun abonnees minstens één (1) keer per halfjaar actief informeren dat, conform de gebruiksvoorwaarden, certificaten worden ingetrokken onder de voorwaarden van - en binnen de in 4.9.1.1 genoemde termijnen van de BRG.
Eisen per 1 november 2019
Nieuwe eis 6.3.2-pkio178
Wordt van toepassing verklaard op delen 3e t/m 3f. De eis luidt:
Private sleutels die door een certificaathouder worden gebruikt en die zijn uitgegeven onder verantwoordelijkheid van deze CP, dienen niet langer dan twee (2) jaar te worden gebruikt.
De certificaten, die zijn uitgegeven onder de verantwoordelijkheid van deze CP, dienen een geldigheid te hebben van niet meer dan 397 dagen.
In het geval dat een certificaat vervangen wordt na intrekking onder sectie 4.9.1.1 van de Baseline Requirements geldt dat de private sleutel van een certificaat NIET mag worden hergebruikt, tenzij dit intrekking betreft onder punt 7 (certificaat niet uitgegeven conform BR of CP/CPS van TSP)
Nieuwe eis 4.2-pkio179
Wordt van toepassing verklaard op delen 3e t/m 3f. De eis luidt:
Een CA moet in staat zijn, zijn totale populatie uitstaande, nog geldige certificaten binnen 5 dagen te kunnen vervangen, mits de abonnee tijdig medewerking verleent.
Bij medewerking door de abonnee wordt door de PA verstaan het aanleveren van enige en alle gegevens die benodigd zijn door de TSP voor het verwerken en levering van een certificaat(aanvraag) zoals domeinvalidatie en Certificate Signing Request (CSR).
Om te zorgen dat een abonnee dergelijke gegevens tijdig kan aanleveren kan de TSP bijvoorbeeld de volgende maatregelen treffen:
- Inrichting van klantportaal die het proces faciliteert en versnelt
- Het periodiek controleren van (domein)validatie zodat data “vers” is op het moment dat het benodigd is
Het (deels) automatiseren van het certificaatuitgifteproces via een API (bijv. RFC8555)