KPN G3 CA’s

De PKIOverheid certificaten die KPN vanaf 2017 uitgeeft vallen onder de G3 Certificate Authorities (CA’s) voor de PKIoverheid Certificatiedienstverlening. Systemen en applicaties die gebruik maken van PKIoverheid certificaten van KPN, dienen voor een correcte werking de KPN G3 CA’s te vertrouwen. Oudere PKIoverheid certificaten die onder G2 zijn uitgegeven blijven onverminderd geldig.

De G3 CA’s zijn ingevoerd om de continuïteit van de PKIoverheid dienstverlening te waarborgen aangezien de eerdere G2 CA certificaten een geldigheidsduur hebben tot maart 2020.

De Installatiehandleiding KPN G3 server CA bevat een korte technische toelichting voor de installatie van de G3 CA certificaten en is specifiek bedoeld voor installatie van servercertificaten.

Zie onderstaande lijst met veelgestelde vragen voor verdere informatie. Mocht u desondanks nog vragen hebben, dan verzoeken wij u om contact op te nemen met de servicedesk.

Veelgestelde vragen

Wat bekent het gebruik van G3 CA's voor mij?

De PKIoverheid certificaten die KPN nu uitgeeft zijn gekoppeld aan de KPN G3 CA en vallen daarmee onder het stamcertificaat Staat der Nederlanden Root CA – G3. Systemen en applicaties die gebruik maken van PKIoverheid certificaten van KPN, dienen voor een correcte werking zowel de KPN G2 CA als de KPN G3 CA certificaten te ondersteunen.
Wat bekent dit voor PKIoverheid certificaten die zijn uitgegeven onder de G2 CA?

Niets, alle eerder uitgegeven PKIoverheid certificaten blijven onverminderd geldig tot het reguliere einde van de geldigheidsduur.
Waar vind ik het G3 stamcertificaat?

Het G3 stamcertificaat, ofwel het Staat der Nederlanden Root CA G3, is het hoogste CA certificaat in de hiërarchie. Dit certificaat is doorgaans al aanwezig in de certificate store van uw operating systeem of applicatie.
 

Hoe ziet de G3 CA hiërarchie eruit voor G3 Persoonsgebonden en Beroepsgebonden certificaten?

Deze certificaten behoren tot het Domein Organisatie Persoon. In dit domein geeft KPN Persoonsgebonden en Beroepsgebonden certificaten uit. De volledige CA hiërarchie bestaat uit de volgende certificaten:
 

 
Het Staat der Nederlanden Root CA G3 certificaat is op de meeste systemen al standaard aanwezig. Om de onder deze hiërarchie uitgegeven certificaten te vertrouwen dienen ook de andere certificaten op uw systeem of binnen uw applicatie aanwezig te zijn.

Hoe ziet de G3 CA hiërarchie eruit voor Servercertificaten?

Servercertificaten behoren tot het Domein Organisatie Services. De volledige CA hiërarchie bestaat uit de volgende certificaten:
 

 
Het Staat der Nederlanden Root CA G3 certificaat is op de meeste systemen al standaard aanwezig. Om de onder deze hiërarchie uitgegeven certificaten te vertrouwen dienen ook de andere certificaten op uw systeem of binnen uw applicatie aanwezig te zijn.

Hoe ziet de G3 CA hiërarchie eruit voor Groepscertificaten?

Groepscertificaten behoren tot het Domein Organisatie Services. De volledige CA hiërarchie bestaat uit de volgende certificaten:
 

 
Het Staat der Nederlanden Root CA G3 certificaat is op de meeste systemen al standaard aanwezig. Om de onder deze hiërarchie uitgegeven certificaten te vertrouwen dienen ook de andere certificaten op uw systeem of binnen uw applicatie aanwezig te zijn.

Ik ben eigenaar/beheerder van een portal/voorziening die beveiligd wordt met machine-to-machine communicatie op basis van PKIoverheid servercertificaten. Moet ik iets doen?

Ja, u moet de nieuwe KPN G3 CA’s voor servercertificaten in de Trust List van uw webserver(s) opnemen, zodat ook gebruikers met een PKIoverheid servercertificaat, uitgegeven onder de KPN G3 CA, toegang tot uw omgeving kunnen krijgen.
Ik ben eigenaar/beheerder van een portal/voorziening waarop gebruikers inloggen met KPN PKIoverheid certificaten. Moet ik iets doen?

Ja, u moet de nieuwe KPN G3 CA’s in de Trust List van uw webserver(s) opnemen, zodat ook gebruikers met een KPN G3 certificaat toegang tot uw omgeving kunnen krijgen. Zoals hierboven aangegeven dient u voor Persoons-/Beroepsgebonden certificaten en voor Groepscertificaten andere G3 CA certificaten toe te voegen.
Ik gebruik mijn G3 certificaat voor aangifte via Digipoort. Moet ik iets doen?

Daarvoor hoeft u zelf niets te doen, anders dan de configuratie van uw eigen systeem zoals hierboven beschreven. Digipoort zorgt ervoor dat nieuwe PKIoverheid G3 certificaten ondersteund worden.
Zijn er nadelen van een G3 servercertificaat?

In situaties waarin bezoekers van een website gebruik maken van een oudere Android versie, kan het voorkomen dat een G3 generatie PKIoverheid servercertificaat niet vertrouwd wordt.
Het Staat der Nederlanden Root CA G3 certificaat certificaat is door Android vertrouwd vanaf de Marshmallow release (versie 6). Een uitgebreid overzicht van de browserondersteuning vindt u op de site van Logius.