Hoofdinhoud

De huidige G3 certificaten verlopen uiterlijk in november 2028. Om mee te gaan met de laatste technologische ontwikkelingen en als vervanging van de G3 certificaten introduceert PKIoverheid de G3+ en G4 certificaten. Wat is G3+ en G4? Welke impact heeft dit op uw dienstverlening en organisatie? U leest hierover meer in deze factsheet.

Vragen of meer informatie?

https://www.logius.nl/pkioverheid
servicecentrum@logius.nl

PKI voor de overheid, kortweg PKIoverheid, is een afsprakenstelsel. Het zorgt voor een veilige gegevensuitwisseling en verbinding tussen overheid, burgers en bedrijfsleven en tussen overheden onderling. Het afsprakenstelsel wordt beheerd door Logius en is verantwoordelijk voor de uitgifte en het beheer van kwalitatief hoog betrouwbare digitale certificaten, die een veilige en betrouwbare uitwisseling van gegevens ten doel hebben. Recent is een nieuwe generatie van PKIoverheidcertificaten gelanceerd: de G4. Tevens is er ook een update gekomen van de G3, de G3+.

G4: de nieuwe generatie

Binnen PKIoverheid worden tot nu toe alle certificaten uitgegeven onder twee verschillende Rootcertificaten, namelijk Publiek vertrouwd (alias: G3) en Privaat vertrouwd (alias: G1 Private. Publiek vertrouwd betekent dat het vertrouwensanker is opgenomen in de software van diverse partijen zoals Microsoft, Google, Apple en Mozilla. Hiermee worden alle certificaten die hieronder worden uitgegeven automatisch vertrouwd in browsers en/of email clients. Bij privaat vertrouwd bepaald uw organisatie zelf of deze certificaten vertrouwd worden.). Het belang van certificaten neemt toe. Daarnaast verandert de regelgeving en worden de beveiligingskaders continu aangescherpt. Om die reden zijn de nieuwe generatie certificaten G3+ en G4 ontwikkeld. Voor 2028 moet iedereen zijn overgestapt. De huidige G3(+) en G1 Private certificaten blijven namelijk geldig tot uiterlijk november 2028.

G4: Wat is er nieuw?

  1. G4 beschikt over 4 Root certificaten in plaats van 2. Ieder voor verschillend gebruik en onderhevig aan eigen (externe) kaders:

    1. S/MIME (publiek vertrouwd);

    2. EU-gekwalificeerde digitale handtekeningen;

    3. Server authenticatie (privaat vertrouwd);

    4. Overig (privaat vertrouwd; vooral bedoeld voor authenticatiedoeleinden),

  2. Elk type eindgebruikerscertificaat is nog maar voor één doeleinde te gebruiken (dus bijvoorbeeld niet langer zowel authentiseren als een digitale handtekening);

  3. G4 bevat een moderner cryptografisch algoritme voor het ondertekenen van alle certificaten: RSASSA-PKCS1-v1_5 is vervangen door RSASSA-PSS. RSASSA-PSS met SHA-256, MGF-1 met SHA-256, en een salt lengte van 32 bytes.;

  4. De naamgeving van zowel de eindgebruikerscertificaten als die van de bovenliggende hiërarchie is aangepast. Hierdoor sluiten ze beter aan bij internationale normen en kaders en is het makkelijker te zien waarvoor een certificaat kan worden gebruikt, wat de doelgroep is, het validatietype en het vertrouwensanker.

Een vertrouwd gezicht in een nieuw jasje

G3+: Tussentijdse aanpassing G3 ten behoeve van S/MIME

Door gewijzigde regelgeving is het sinds september 2024 niet langer mogelijk gebruik te maken van G3 certificaten voor het beveiligen van email (S/MIME). Om deze functionaliteit toch te kunnen blijven aanbieden is een nieuwe tak aangemaakt binnen de G3, namelijk de G3+. Het verschil tussen G3 en G3+:

  • G3+ S/MIME certificaten kunnen alleen nog maar worden gebruikt voor het beveiligen van email;
  • G3+ S/MIME certificaten mogen niet langer geleverd worden op secure cryptographic devices (smart card, token, etc.).

Nieuw cryptografisch algoritme 

Onder de G3 is het cryptografisch algoritme voor het ondertekenen van alle certificaten RSASSA-PKCS1-v1_5. Voor gebruik binnen de EU is dit algoritme inmiddels bestempeld als Legacy. Voor de G4 is het algoritme RSASSA-PSS(2) gekozen omdat deze door de meeste software en relevante PKI kaders wordt ondersteund. 

Quantum-resistant algoritmen zijn nog niet bruikbaar in een productieomgeving met PKI-certificaten. Logius houdt deze ontwikkelingen nauwgezet in de gaten, en stelt testcertificaten beschikbaar als standaardisatie op dit vlak verder is doorontwikkeld. De G4 architectuur is echter gebouwd om makkelijk dit algoritme te kunnen adopteren wanneer nodig.

Wat betekent dit voor mijn organisatie?

In de G4 kan elk certificaat maar voor één enkel doeleinde worden gebruikt, en zijn de certificaattypen onderverdeeld per root met elk eigen kenmerkende regelgeving. Dit kan gevolgen hebben voor het aantal certificaten dat uw organisatie nodig heeft. In de vertaaltabel “Welk type certificaat heb ik nodig?” op logius.nl/pkioverheid kunt u zien welke G4 certificaten u nodig heeft. Het is daarom van belang om te weten waarvoor u de G3 certificaten momenteel inzet!

De G3+ en de G4 certificaten worden geleidelijk uitgerold bij de diverse Trust Service Providers. Organisaties stappen daarom in toenemende mate over op deze certificaten. Voor november 2028 moeten alle organisaties zijn overgestapt op de G4.

Wees voorbereid!

Het kost uw organisatie tijd om met de nieuwe certificaten te kunnen werken. Hoe eerder uw organisatie begint, hoe meer tijd uw organisatie heeft om onderstaande stappen te doorlopen. Op die manier verloopt de overstap naar de G4 voor iedereen voorspoedig.

Stappenplan

Stap 1: Met behulp van de vertaaltabel, inventariseer voor welke doeleinden de huidige certificaten worden gebruikt zodat uw organisatie straks de correcte G4 certificaten kan bestellen; 

Stap 2: Inventariseer alle systemen die gebruik maken van PKIoverheid certificaten en controleer of deze het RSASSA-PSS algoritme ondersteunen;

Stap 3: Update software in geval van ontbrekende RSASSA-PSS ondersteuning;

Stap 4: Houd rekening met het feit dat nu wellicht meerdere nieuwe PKIoverheid roots moeten worden geïmporteerd in de Trust Store van de verschillende informatiesystemen in uw organisatie;

Stap 5: Test grondig voordat G4 certificaten op grote schaal worden uitgerold. Dit geldt dus zowel bij gebruik als bij acceptatie van G4 certificaten.

Welk type certificaat heb ik nodig?

In onderstaande tabel staat vermeld welk certificaat u in de toekomst nodig heeft. Of welke u mogelijk kunt ontvangen van tegenpartijen. Achter elk certificaattype staat ook de zogenaamde Certificate Policy Object Identifier (OID) vermeld die het type uniek aanduidt. 

Een compleet en actueel overzicht van alle onder PKIoverheid uitgegeven Root-, intermediate- en TSP-certificaten, de bijbehorende Certificate Policy (CP), Certificate Practice Statement (CPS) en Certificate Revocation Lists (CRL) vindt u op pkioverheid.nl. Daarnaast vindt u hier ook informatie over de PKIoverheid OID’s.

Dienstverlening (doel) G3/G1 Private certificaat type G3+/G4 certificaat type
Client authenticatie voor organisaties (bijvoorbeeld voor SAML of mTLS te gebruiken bij SBR, Digipoort, DigiD, etc.)

G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6), of

G3 Organisatie Services Authenticiteit certificaat (OID: 2.16.528.1.1003.1.2.5.4)

 G4 Private Other Generic Legal Persons Organization Validated Authentication (OID: 2.16.528.1.1003.1.2.44.16.25.8)
Server authenticatie voor organisaties (bijvoorbeeld Webservers). G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6) G4 Private TLS Generic Devices Organization Validated Server (OID: 2.16.528.1.1003.1.2.44.15.35.11)
Zetten van een EU-gekwalificeerde digitale handtekening door individuen (eIDAS eSignature) G3 Burger Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.3.2)

G4 EUTL Individual Validated eSignature (OID: 2.16.528.1.1003.1.2.44.14.11.5), of

Inclusief gereguleerd beroep: G4 EUTL Regulated Profession Validated eSignature (OID: 2.16.528.1.1003.1.2.44.14.12.5)
Zetten van een EU-gekwalificeerde digitale handtekening voor organisaties (eIDAS eSeal) G3 Organisatie Services Onweerlegbaarheid certificaat (OID 2.16.528.1.1003.1.2.5.7) G4 EUTL Organization Validated eSeal (OID: 2.16.528.1.1003.1.2.44.14.25.5)
Ondertekenen of versleutelen van emails door individuen

G3 Burger Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.3.2), of

G3 Burger Vertrouwelijkheid certificaat (OID: 2.16.528.1.1003.1.2.3.3)

G3+ S/MIME Dual-Use Individual-validated certificaat (OID: 2.16.528.1.1003.1.2.12.9), en

Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond)
Ondertekenen of versleutelen van emails door medewerkers van organisaties

G3 Organisatie Persoon Onweerlegbaarheid (OID: 2.16.528.1.1003.1.2.5.2), en

G3 Organisatie Persoon Vertrouwelijkheid (OID: 2.16.528.1.1003.1.2.5.3)

G3+ S/MIME Dual-Use Sponsor-validated certificaat (OID: 2.16.528.1.1003.1.2.11.9), en

Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond)
Ondertekenen of versleutelen van emails door organisaties

G3 Organisatie Services Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.5.7), of

G3 Organisatie Services Vertrouwelijkheid certificaat (OID: 2.16.528.1.1003.1.2.5.6) 

G3+ S/MIME Dual-Use Organization-validated certificaat (OID: 2.16.528.1.1003.1.2.10.9), en

Op termijn: G4 S/MIME certificaten (wanneer de verschillende aanmeldingsprocedures bij de browserpartijen zijn afgerond)