Certificaat-vervangingsplan, veelgestelde vragen

Via onze blog houden we u op de hoogte van de aanpak rondom het vervangingsplan voor certificaten die niet meer voldoen aan de internationale eisen. We snappen dat u, na het lezen van die blog, nog steeds met vragen zit. Om u te helpen hebben we mogelijke vragen verzameld en gebundeld in de onderstaande lijst. Deze lijst zal in de komende dagen verder worden uitgebreid.

Laatst bijgewerkt op: 17 september 2020

Vraag hier niet beantwoord?

Neem contact op met de servicedesk van uw certificaatvertrekker, bijvoorbeeld: KPN, Digidentity of QuoVadis. Zij kunnen u het beste helpen.

Achtergrondinformatie

Het PKIoverheid-certificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Bij alle Logius-diensten heeft u een digitaal certificaat van PKIoverheid nodig. Dit waarborgt de betrouwbaarheid van informatie-uitwisseling via e-mail en websites op basis van Nederlandse wetgeving. Maar niet alleen in e-mails en websites worden certificaten gebruikt, ook in servers, apps of smartcards kunnen certificaten zitten.

Digitale certificaten worden in de praktijk vaak georganiseerd in een Public Key Infrastructure (PKI). Met behulp van een PKI kan een partij de authenticiteit van een aangeboden eindcertificaat controleren. Een PKI bestaat uit een aantal stamcertificaten en afspraken over de manier waarop vertrouwen in uitgegeven eindcertificaten wordt toegekend.

Logius heeft de rol van Policy Authority (PA) van PKIoverheid. Lees meer over deze rol.

Met vragen, meldingen en klachten over een PKIoverheid-certificaat kunt u terecht bij de certificaatverstrekker waar u uw PKIoverheid-certificaten heeft aangeschaft. Voor de duidelijkheid: certificaatverstrekkers worden ook wel TSP’s (Trusted Service Providers) genoemd. Welke certificaatvertrekkers er zijn leest u op deze pagina.

Het vervangingsplan

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Op basis daarvan is een actieplan opgesteld voor het vervangen van certificaten, dat actieplan is nu in volle gang.

Om ervoor te zorgen dat niet álle certificaten vervangen hoeven te worden is een vervangingsplan opgesteld. Kort samengevat bestaat het plan uit de onderstaande handelingen. Wilt u de hoofdlijnen liever in een visueel overzicht zien, bekijk dan onze infographic over het vervangingsplan.

  1. Certificaatverstrekkers vervangen alle EV-eindcertificaten onder de EV-root door OV-eindcertificaten onder hetzelfde stamcertificaat, de EV-root. Dit is inmiddels uitgevoerd.
     
  2. Certificaatverstrekkers en de certificaathouders vervangen in samenwerking alle OV-eindcertificaten onder de publieke G3-root. Deze vervangen zij, afhankelijk van de situatie:
    a. webverkeer (HTTPS)
    Eindcertificaten die dienen voor het beveiligen van webverkeer worden overgezet naar publieke CA2020 eindcertificaten onder de EV-root.

    b. machine-naar-machineverkeer
    Eindcertificaten die alleen dienen voor machine-naar-machineverkeer worden overgezet naar private eindcertificaten onder de G1-root. Er kan ook worden gekozen om tijdelijk gebruik te maken van publieke CA2020 eindcertificaten onder de EV-root.
     

  3. Logius verzoekt vanuit de rol als Policy Authority (PA) de browsers om de G3-Root uit de Browser Trust stores terug te trekken.

 

Bent u een certificaathouder (gebruiker van een certificaat)? Wacht dan op bericht van uw certificaatverstrekker. Als er wijzigingen noodzakelijk zijn in de eindcertificaten die u gebruikt, dan stelt uw certificaatverstrekker u daarvan op de hoogte.

Wilt u hierover meer lezen, raadpleeg dan de Factsheet van het Nationaal Cyber Security Centrum (NCSC).

Uitgangspunt voor de PKioverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken. Na zorgvuldige afweging van de risico's is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. Daarin staan deze data:

1 oktober 2020 - webverkeer

Eindcertificaten die dienen voor het beveiligen van webverkeer moeten overgezet zijn naar publieke CA2020 eindcertificaten onder de EV-root.

  • Voor het vervangen van door websites gebruikte certificaten is er een nieuw domein gecreëerd onder de EV Root. Dit is 'domein server CA2020'.
  • Let op dat u er voor zorgt dat het nieuwe 'domein server CA2020' wordt vertrouwd in uw software.

31 december 2020 - machine-naar-machineverkeer

Eindcertificaten die alleen dienen voor machine-naar-machineverkeer moeten zijn overgezet naar private eindcertificaten onder de G1-root.

  • Let op dat uw machine-naar-machine software om kan gaan met certificaten die niet worden vertrouwd door webbrowsers.

Er kan ook worden gekozen om tijdelijk gebruik te maken van publieke CA2020 eindcertificaten onder de EV-root.

31 januari 2021 - browser trust stores

Logius verzoekt vanuit de rol als Policy Authority (PA) de browsers om de G3-root uit de Browser Trust stores terug te trekken.

 

We hanteren geen verschillende deadlines. In de factsheet van het NCSC staat geschreven dat Logius een tijdpad tot en met januari 2021 heeft vastgesteld. Hierdoor ontvangen we vragen of de gestelde deadlines van 1 oktober en 31 december onjuist zijn. Het NCSC refereert in de tekst naar de uiterste datum waarop de vervangingen geregeld moeten zijn. Logius stimuleert partijen om op tijd klaar te zijn en hanteert daarom een strakker tijdpad. Zo willen we uitval voorkomen.

Het is belangrijk dat uw certificaten voldoen aan de gestelde eisen. Als uw certificaat niet op tijd vervangen is, terwijl dat wel had gemoeten, dan loopt u het risico dat uw website of dienst niet (optimaal) functioneert.

Bespreekt dit met uw technisch deskundige. Vermoeden jullie beiden dat dit zo is, neem dan contact op met uw certificaatverstrekker.

Technische vragen

Nee, om uitgifte te vereenvoudigen is besloten voor dit specifieke geval hergebruik van csr-bestanden toe te staan.

Met publieke certificaten bedoelen wij certificaten die vertrouwd worden door de browserpartijen. De Root waarop deze certificaten gebaseerd zijn moet opgenomen zijn in de truststores van de browserpartijen.

Met private certificaten bedoelen wij certificaten waarbij de Root niet is opgenomen in de truststores van de browserpartijen.

Machine-naar-machine verkeer betreft verkeer tussen besloten systemen. Machine-naar-machine verkeer maakt geen gebruik van webbrowsers.

Publieke certificaten zijn certificaten die zijn opgenomen in de browser trust stores. Opname in die browser trust stores is niet altijd  nodig, bijvoorbeeld bij machine-naar-machineverkeer. Private certificaten vallen dus buiten het beleid van de browserpartijen. Door te kiezen voor private certificaten wordt de externe afhankelijkheid van besloten systemen verminderd.

Er is besloten dat vervangende publieke certificaten ook tijdelijk geleverd kunnen worden met een OIN/HRN. Hierover kunt u contact opnemen met uw certificaatverstrekker.

Bij vervanging heeft het nieuwe certificaat dezelfde vervaldatum als het huidige certificaat dat het vervangt.

Als uw certificaat nog vóór de genoemde deadlines verloopt, en vervangen moet worden, volg dan het reguliere proces voor het aanvragen van een nieuw certificaat.

Een nieuw publiek certificaat heeft een geldigheidsduur van 1 jaar, een nieuw private certificaat een geldigheidsduur van 3 jaar.

Vanuit onze rol als Policy Authoriy van het PKIoverheid-stelsel geeft Logius duidelijk richting. Deze bestaat uit de instructie aan álle organisaties om over te stappen naar private certificaten wanneer publiek vertrouwen niet strikt noodzakelijk is. Dit uitgangspunt is afgestemd en gedeeld met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, NCSC en CIO beraad.

Logius heeft ook een rol als dienstverlener voor de digitale overheid, die voorzieningen levert als DigiD. Vanuit de Logius-voorzieningen gaan we op dit moment geen nieuwe (af)dwingende voorschriften stellen. Waar mogelijk stappen wij over op private certificaten. Dit doen we in afstemming met onze afnemers om de continuïteit van de dienstverleningen zo goed mogelijk te kunnen borgen.

Communicatie

Volg onze blog over het vervangingsproces. Daarnaast houden wij deze vragenlijst actueel. Ook zal uw certificaatverstrekker informatie verstrekken.