KPN G3 CA’s (2017)

KPN is overgestapt naar nieuwe zogenaamde G3 Certificate Authorities (CA’s) voor de PKIoverheid Certificatiedienstverlening. Systemen en applicaties die gebruik maken van PKIoverheid certificaten van KPN, dienen voor een correcte werking na die overstap ook de KPN G3 CA’s te vertrouwen. Bestaande PKIoverheid certificaten blijven onverminderd geldig. Zie voor de datum van invoering de nieuwsberichten op de homepage.

De introductie van de G3 CA’s is noodzakelijk om de continuïteit van de PKIoverheid dienstverlening in de toekomst te waarborgen aangezien de bestaande G2 CA certificaten een geldigheidsduur hebben tot maart 2020. Om certificaten uit te kunnen blijven geven met een geldigheidsduur van drie jaar, dient er in 2017 een overgang plaats te vinden naar de G3 CA’s.

De nieuwe G3 CA certificaten zijn al gemaakt en gepubliceerd zodat u de technische aanpassing al kan doorvoeren. De Installatiehandleiding KPN G3 server CA bevat een korte technische toelichting voor de installatie van de nieuwe CA certificaten en is specifiek bedoeld voor installatie van servercertificaten.

Met onderstaande FAQ probeert KPN al uw vragen over de impact van deze aanpassing te beantwoorden. Mocht u desondanks nog vragen hebben, dan verzoeken wij u om contact op te nemen met de servicedesk.

 

FAQ

Wat bekent deze wijziging mij?
Naar verwachting zullen de PKIoverheid certificaten van KPN vanaf het eerste kwartaal 2017 gekoppeld zijn aan de nieuwe KPN G3 CA en daarmee ook vallen onder het stamcertificaat Staat der Nederlanden Root CA – G3. Systemen en applicaties die gebruik maken van PKIoverheid certificaten van KPN, dienen voor een correcte werking vanaf dat moment zowel de KPN G2 CA als de KPN G3 CA certificaten te ondersteunen.

 

Wat bekent dit voor mijn huidige PKIoverheid certificaten?
Niets, alle reeds uitgegeven PKIoverheid certificaten blijven onverminderd geldig tot het reguliere einde van de geldigheidsduur.

 

Waar vind ik het nieuwe G3 stamcertificaat?
Dit is het hoogste CA certificaat in de hiërarchie. Het Staat der Nederlanden Root CA G3 certificaat zal als het goed is al aanwezig zijn in de certificate store van uw operating systeem of applicatie.

U kunt het Staat der Nederlanden Root CA G3 certificaat hier downloaden.

 

Hoe ziet de G3 CA hiërarchie eruit voor G3 Persoonsgebonden en Beroepsgebonden certificaten?
Deze certificaten behoren tot het zogenaamde Domein Organisatie Persoon. In dit domein geeft KPN Persoonsgebonden en Beroepsgebonden certificaten uit. Daarom bestaat de CA hiërarchie naast het G3 stamcertificaat uit de volgende certificaten:

• Staat der Nederlanden Organisatie Persoon CA – G3. U kunt het certificaat hier downloaden.

• • KPN PKIoverheid Organisatie Persoon CA – G3

 

Hoe ziet de G3 CA hiërarchie eruit voor Servercertificaten?
Servercertificaten behoren tot het zogenaamde Domein Organisatie Services. Daarom bestaat de CA hiërarchie naast het G3 stamcertificaat uit de volgende certificaten:

• Staat der Nederlanden Organisatie Services CA – G3. U kunt het certificaat hier downloaden.

• • KPN PKIoverheid Organisatie Server CA – G3

 

Hoe ziet de G3 CA hiërarchie eruit voor Groepscertificaten?
Groepscertificaten behoren tot het zogenaamde Domein Organisatie Services. Daarom bestaat de CA hiërarchie naast het G3 stamcertificaat uit de volgende certificaten:

• Staat der Nederlanden Organisatie Services CA – G3. U kunt het certificaat hier downloaden. Dit is identiek aan het domein certificaat voor Servercertifcaten.

• • KPN PKIoverheid Organisatie Services CA – G3

 

Ik ben eigenaar/beheerder van een portal/voorziening die beveiligd wordt met machine-to-machine communicatie op basis van PKIoverheid servercertificaten. Moet ik iets doen?
Ja, u moet de nieuwe KPN G3 CA’s voor servercertificaten in de Trust List van uw webserver(s) opnemen, zodat ook gebruikers met een PKIoverheid servercertificaat, uitgegeven onder de KPN G3 CA, toegang tot uw omgeving kunnen krijgen.

 

Ik ben eigenaar/beheerder van een portal/voorziening waarop gebruikers inloggen met KPN PKIoverheid certificaten. Moet ik iets doen?
Ja, u moet de nieuwe KPN G3 CA’s in de Trust List van uw webserver(s) opnemen, zodat ook gebruikers met een KPN G3 certificaat toegang tot uw omgeving kunnen krijgen. Zoals hierboven aangegeven dient u voor Persoons-/Beroepsgebonden certificaten en voor Groepscertificaten andere G3 CA certificaten toe te voegen.

 

Ik gebruik mijn G3 certificaat voor aangifte via Digipoort. Moet ik iets doen?
Daarvoor hoeft u zelf niets te doen, anders dan de configuratie van uw eigen systeem zoals hierboven beschreven. Digipoort zorgt ervoor dat nieuwe PKIoverheid G3 certificaten ondersteund worden.

 

In welke situatie is een G2 servercertificaat nog zinvol?
In het aanvraagformulier voor servercertificaten is de keuzemogelijkheid opgenomen tussen generatie G2 en G3 servercertificaten. Servercertificaten worden nu bij voorkeur onder de zogenaamde G3 generatie PKIoverheid uitgegeven. Die is onder andere geschikt voor SBR en Digipoort toepassingen. In sommige situaties -waarbij bezoekers van een website nog gebruik maken van oudere Android versies- kan het raadzaam zijn om een G2 generatie PKIoverheid servercertificaat aan te vragen.
Het Staat der Nederlanden Root CA G3 certificaat certificaat is door Android vertrouwd vanaf de zogenaamde Marshmallow release (versie 6). Een uitgebreid overzicht van de browserondersteuning vindt u op de site van Logius.