Archief oude nieuwsberichten

S/MIME: e-mail beveiliging per 1 Augustus 2023 uitgefaseerd

Door wijzigingen in de wet en regelgeving heeft KPN het besluit genomen om het e-mail adres, en daarmee S/MIME, uit de publieke certificaten te halen. Passen uitgegeven na 1 Augustus 2023 kunnen geen beveiligde e-mail meer sturen. De andere functionaliteiten blijven hetzelfde werken. De wijziging heeft geen impact op passen uitgegeven vóór 1 Augustus 2023.

KPN werkt samen met certSIGN

KPN is een samenwerking aangegaan met het bedrijf certSIGN die de nieuwe vervangende oplossing gaat bieden voor de publiek vertrouwde PKIO servercertificaten. Deze oplossing zal een veilig en vertrouwd alternatief zijn. Voor u als klant zal er niets veranderen m.b.t. aanvragen en de validatie. KPN en zijn partners staan voor u klaar om u te assisteren. Met deze stap zet KPN een belangrijke stap naar de toekomst waarbij wij onze dienst verder gaan uitbreiden. Maar belangrijker nog onze bestaande dienst continueren en uw Security waarborgen.

Stop uitgifte (verkoop) van PKIoverheid CA 2020 certificaten per 30 september 2022

Per 30 september 2022 is de uitgifte (verkoop) van CA 2020 certificaten door KPN en andere partijen definitief gestaakt. Vraag bij KPN een nieuw certSIGN en/of een PKIoverheid Private certificaat aan.
De uitgifte van andere type PKIoverheid certificaten (Private servercertificaten, Private Digipoort, eSeal, Groeps-, Persoonlijke en Beroepscertificaten) wordt ongewijzigd voortgezet. Meer informatie vindt u hier.

2-jarige certificaten onder private root

Vanwege de recente veranderingen van PKIoverheid introduceert KPN 2-jarige servercertificaten uitgegeven onder de private root. Dit betreft servercertificaten van het type PRIVATE en digipoort PRIVATE, bedoeld voor machine-to-machine verkeer. Op het aanvraagformulier kunt u nu zelf kiezen voor een 2- of 3-jarig certificaat.

Meer informatie over digipoort PRIVATE servercertificaten of PRIVATE servercertificaten.

KPN stopt uitgifte EV SSL / QWAC

Omdat Logius heeft besloten een aantal intermediate CA’s in te trekken stopt KPN per direct met de uitgifte van EV SSL / QWAC servercertificaten. Klanten die zulke certificaten gebruiken worden tijdig geïnformeerd en ontvangen een vervangend certificaat.

Meer informatie over PKIoverheid servercertificaten en het bericht van Logius.

Mobiele certificaten zonder Pas of USB-stick

Wilt u zonder een Pas of USB-stick een certificaat via Mobiel aanvragen? Vanaf nu is dat mogelijk. Handig, voor als u uw certificaat alleen mobiel wilt gebruiken en geen Pas of USB-stick nodig heeft. U kunt uw Mobiele PKIoverheid Beroepscertificaat of Mobiele Persoonlijke certificaat bijvoorbeeld in combinatie met Validsign gebruiken, of om in te loggen op KPN MijnCertificaten.
Het blijft tevens mogelijk om een Mobiel certificaat aan te vragen als aanvulling op de vertrouwde Passen en USB-sticks. Meer informatie vindt u op de pagina’s voor Beroepsgebonden Mobiele certificaten of Persoonlijke Mobiele certificaten.

Neemt u bij vragen contact op met de Servicedesk.

KPN introduceert QWAC servercertificaten

Qualified certificate for website authentication of QWAC is de Europese variant van EV SSL servercertificaten en daarmee functioneel volledig vergelijkbaar. Vanaf 1 juli 2020, voegt KPN deze functionaliteit toe aan PKIoverheid EV SSL certificaten. De nieuwe naamgeving wordt “PKIoverheid EV SSL / QWAC servercertificaat”. Het voordeel is dat deze servercertificaten volledig voldoen aan zowel de Europese eIDAS regelgeving als de Nederlandse PKIoverheid standaard.

Meer informatie over PKIoverheid servercertificaten of neem contact op met de Servicedesk.

Geldigheidsduur publieke servercertificaten naar 1 jaar

Per 1 november 2019 is de maximale geldigheidsduur van publieke servercertificaten (Standaard SSL en EV-SSL) in opdracht van Logius teruggebracht naar 1 jaar (397 dagen). Alle klanten die gebruik maken van dergelijke certificaten dienen vanaf de eerstvolgende vervanging hun certificaat dan ook jaarlijks te verlengen. Om tijdig aan deze eis te voldoen zal KPN vanaf 17 oktober 2019 geen aanvragen voor 2 jarige certificaten meer accepteren.

Meer informatie over PKIoverheid servercertificaten of neem contact op met de Servicedesk.

KPN introduceert Mobiele certificaten

Het is nu ook mogelijk om PKIoverheid Beroepscertificaten of Persoonlijke certificaten te gebruiken via uw mobiele telefoon. Hiervoor heeft KPN Mobiele certificaten geïntroduceerd als nieuw model, naast de vertrouwde Passen en USB-sticks. Bij Mobiele certificaten zijn de beveiligingssleutels opgeslagen in streng beveiligde systemen van KPN. Alleen u kunt deze sleutels gebruiken, bijvoorbeeld voor elektronische handtekeningen of inloggen op MijnCertificaten via een App op uw telefoon. Meer informatie staat op de pagina’s voor Beroepsgebonden Mobiele certificaten of Persoonlijke Mobiele certificaten.

Neemt u bij vragen contact op met de Servicedesk.

KPN introduceert PKIoverheid Digipoort PRIVATE servercertificaten

Vanaf 1 maart 2019 is het mogelijk om een PKIoverheid Digipoort PRIVATE servercertificaat aan te vragen bij KPN. PKIoverheid Digipoort PRIVATE servercertificaten zijn alleen bedoeld voor koppeling van uw systeem met Digipoort. Voordelen zijn een sneller en eenvoudiger aanvraagproces zonder domeincontrole en een geldigheidsduur van 3 jaar. Hierdoor hoeft u minder vaak het certificaat te vernieuwen en zijn de kosten van het certificaat op jaarbasis lager.

Meer informatie over Digipoort PRIVATE certificaten of neem contact op met de Servicedesk.

Uitgifte standaard servercertificaten onder PKIoverheid G2 generatie is gestopt

Standaard servercertificaten werden al geruime tijd bij voorkeur onder de zogenaamde G3 generatie PKIoverheid uitgegeven. Het was echter wel mogelijk om onder de tweede generatie PKIoverheid (G2) servercertificaten aan te vragen met een looptijd van 1 jaar. Aangezien de CA certificaten van deze G2 generatie verlopen in maart 2020 is KPN in maart 2019 gestopt met de uitgifte van servercertificaten onder de PKIoverheid G2 generatie.

Het aanvragen van servercertificaten onder de PKIoverheid G2 generatie is niet langer mogelijk. Nieuwe aanvragen van standaard servercertificaten worden uitgegeven onder de PKIoverheid G3 generatie.

Geldigheidsduur en ingangsdatum Servercertificaten bij vernieuwing

Vanaf 6 juli 2018 is het mogelijk om bij vernieuwing de geldigheidsduur van het nieuwe Servercertificaat te koppelen aan de oorspronkelijke geldigheidsdatum van het verlopende Servercertificaat. Dit is alleen van toepassing als het nieuwe certificaat een G3 standaard Servercertificaat of een EV SSL Servercertificaat is. U kunt dan tijdig verlengen om continuïteit te garanderen én tegelijkertijd gebruik te maken van de effectieve geldigheidsduur van 2 jaar. Daarnaast ontvangt u automatisch de vernieuwingskorting van € 50,00
LET OP: u dient daarvoor gebruik te maken van de link in het e-mailbericht dat KPN u toestuurt of via MijnCertificaten een Servercertifcaat te verlengen.

Meer informatie vindt u bij de Veelgestelde vragen.

Groepscertificaten zijn weer leverbaar

Vanaf begin augustus 2018 zijn Groepscertificaten weer leverbaar door KPN. Bij het gebruik van algemene e-mailadressen (zoals bij een secretariaat of een helpdesk) is het veelal niet wenselijk dan wel niet toegestaan om gebruik te maken van persoonsnamen. In dergelijke situaties kan men geen gebruik maken van persoonlijke certificaten. Groepscertificaten bieden dan een oplossing en zijn na een onderbreking weer leverbaar.

Meer informatie over Groepscertificaten of ga direct naar Aanvragen Groepscertificaten.

Geldigheidsduur Servercertificaten maximaal 2 jaar

Vanwege aangescherpte regels van de browser leveranciers -verenigd in het CA/Browser Forum– is het vanaf 1 maart 2018 niet meer toegestaan om 3 jarige servercertificaten uit te geven. Deze wijziging heeft geen invloed op reeds uitgeven Servercertificaten. De aanvraagformulieren tonen altijd de generatie CA en de geldigheidsduur van het product dat u aanvraagt. In de prijslijst kunt u zien wat de prijs van uw product zal zijn.

Verplichtstelling SBR Assurance per 1 januari 2018

Vanaf 1 januari 2018 zijn middelgrote rechtspersonen verplicht om hun jaarverantwoording (boekjaar 2017) via Standard Business Reporting te deponeren bij het handelsregister van de Kamer van Koophandel (KvK). Dat betekent dat de accountantsverklaring digitaal met behulp van een PKIoverheid beroepsgebonden certificaat moet worden ondertekend (“SBR Assurance”). Ook de publicatiejaarrekening van een kleine rechtspersoon met een vrijwillige accountantsverklaring valt onder deze wettelijke verplichting. Een aantal grote accountancy kantoren deponeerden dit jaar al in een pilot jaarrekeningen in SBR met een elektronische handtekening. Dit zal vanaf 1 januari 2018 de standaard worden.
Meer informatie

Veilige en betrouwbare ICT van KPN

Tegenwoordig is het essentieel dat de data van uw organisatie goed wordt bewaakt. Daarbij rekent u op veilige en betrouwbare ICT. Met een solide securitybeleid dat zorgt voor de hoogst mogelijke weerbaarheid. Met onze ICT-oplossingen zorgen we voor zekerheid, continuïteit en vooruitgang voor uw organisatie.

Lees hier wat KPN nog meer kan betekenen voor de beveiliging van uw bedrijfsgegevens

KPN G3 CA’s in gebruik voor passen vanaf 22 september 2017

Vanaf 22 september 2017 heeft KPN een de zogenaamde KPN G3 CA in gebruik voor de uitgifte van voor Persoonlijke en Beroepsgebonden certificaten. Systemen en applicaties waarop gebruikers inloggen met KPN PKIoverheid certificaten moeten de nieuwe KPN G3 CA’s in de Trust List opnemen, zodat gebruikers ook met een KPN G3 certificaat toegang tot die omgeving kunnen krijgen. Bestaande PKIoverheid Persoonlijke en Beroepsgebonden certificaten blijven onverminderd geldig.

Een ander gevolg is dat certificaten met een geldigheidsduur van 3 en 5 jaar weer leverbaar zijn. Certificaten met een levensduur van 2,5 jaar zijn niet meer leverbaar. De aanvraagformulieren tonen altijd de geldigheidsduur van het product dat u aanvraagt en in de prijslijst kunt u zien wat de prijs van uw product zal zijn. Neemt u bij vragen contact op met de Servicedesk.

Lees hier wat de invoering van de KPN G3 CA’s voor u betekent

KPN G3 CA’s in gebruik voor Servercertificaten vanaf 14 april 2017

KPN neemt 14 april 2017 een nieuwe zogenaamde G3 Certificate Authority in gebruik voor de uitgifte van PKIoverheid Servercertificaten. Systemen en applicaties die gebruik maken van PKIoverheid servercertificaten van KPN, dienen voor een correcte werking vanaf begin april 2017 ook de KPN G3 CA te vertrouwen. Bestaande PKIoverheid Servercertificaten blijven onverminderd geldig.

Bij Servercertificaten uit de KPN G3 CA kunt u kiezen uit een geldigheidsduur van 3 of 2 jaar. Indien gewenst zijn via het reguliere proces ook nog Servercertficaten aan te vragen uit de KPN G2 CA met een geldigheidsduur van 2 jaar. De aanvraagformulieren tonen altijd de generatie CA en de geldigheidsduur van het product dat u aanvraagt. In de prijslijst kunt u zien wat de prijs van uw product zal zijn. Neemt u bij vragen contact op met de Servicedesk.

Lees hier wat de invoering van de KPN G3 CA’s voor Servercertificaten voor u betekent

Verplichte elektronische handtekening voor aanbestedingen Rijkswaterstaat per 1 juli 2016

Vanaf 1 juli 2016 stelt Rijkswaterstaat voor het inschrijven via TenderNed op het Inkoopdomein Informatievoorziening een rechtsgeldige elektronische handtekening verplicht. Vraag daarom nu een PKIoverheid persoonsgebonden certificaat aan bij KPN.

Het Inkoopdomein Informatievoorziening van Rijkswaterstaat richt zich op inkoop van Informatievoorzieningsdiensten. Meer specifiek betekent dit de inkoop van ICT hardware, software, netwerk en telefonie, dienstverlening ICT en data. Ook Grond-, Weg- en Waterbouw (GWW) gerelateerde ICT zoals industriële automatisering vallen binnen dit Inkoopdomein.
U dient vanaf 1 juli 2016 een zogenaamde gekwalificeerde elektronische handtekening te gebruiken voor ondertekening van uw aanbestedingsdocumenten. Met een persoonsgebonden PKIoverheid certificaat van KPN kunt u eenvoudig een zogenaamde gekwalificeerde elektronische handtekening plaatsen onder uw documenten.

Vraag nu een PKIoverheid persoonsgebonden certificaat aan

KPN G2 CA per 1 april 2016

KPN heeft per 1 april 2016 een nieuwe zogenaamde G2 Certificate Authority in gebruik nemen voor de PKIoverheid Certificatiedienstverlening. Dit betekent voor u, dat PKIoverheid certificaten die na genoemde datum worden uitgegeven, gekoppeld zijn aan de nieuwe KPN G2 CA. Systemen en applicaties die gebruik maken van PKIoverheid certificaten van KPN, dienen voor een correcte werking na 1 april 2016 zowel de KPN Corporate Market G2 CA als de KPN G2 CA certificaten te ondersteunen.
Lees hier wat de invoering van de KPN G2 CA voor u betekent

KPN introduceert PKIoverheid Extended Validation SSL certificaten (november 2015)

Met het nieuwe product PKIoverheid Extended Validation SSL certificaten, biedt KPN vanaf 24 november 2015 een servercertificaat waarmee u uw website maximaal beveiligt én u uw bezoekers het vertrouwen geeft dat uw website betrouwbaar is. Websites die zijn beveiligd met PKIoverheid EV SSL certificaten kenmerken zich door de groene adresbalk in de webbrowser. Bezoeker kunnen in één oogopslag zien dat uw getoonde website betrouwbaar is.

PKIoverheid Extended Validation SSL certificaten worden vooral gebruikt voor het beveiligen van internetdiensten en digitale loketten gericht op zowel consumenten, zakelijke gebruikers als burgers.

Vraag nu een PKIoverheid EV SSL / QWAC certificaat aan

Veelgestelde vragen Heartbleed OpenSSL kwetsbaarheid

Wat is de OpenSSL Heartbleed kwetsbaarheid?

Dit is een kwetsbaarheid in OpenSSL waardoor een hacker private sleutels, certificaten en gevoelige informatie zoals wachtwoorden en klantgegevens kan achterhalen.

Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.

Wat kan ik eraan doen om de kwetsbaarheid weg te nemen?

Deze ernstige kwetsbaarheid kan worden weggenomen door de server te upgraden naar een versie van OpenSSL die niet kwetsbaar is. Daarnaast raadt oa. het NCSC aan om certificaten en de bijbehorende private sleutels te vervangen als deze op een kwetsbare server gebruikt zijn.
Welke stappen moet ik zetten?

Het NCSC adviseert de volgende stappen:

  1. Inventariseer welke van uw servers een kwetsbare versie van OpenSSL gebruiken.
    Zie https://www.kb.cert.org/vuls/id/720951 voor een overzicht van kwetsbare OpenSSL versies en veelgebruikte serversoftware
  2. Inventariseer welke private sleutels van certificaten worden gebruikt op een kwetsbare server.
  3. Upgrade alle servers met een kwetsbare versie van OpenSSL naar een versie die niet meer kwetsbaar is. Is upgraden niet mogelijk, compileer OpenSSL dan zonder ondersteuning voor de heartbeat-functionaliteit -DOPENSSL_NO_HEARTBEATS.
  4. Genereer nieuwe private sleutels en vraag nieuwe certificaten aan voor alle sleutels die mogelijk gecompromitteerd zijn (zie stap 2).
  5. Vervang de mogelijk gecompromitteerde sleutels en certificaten door nieuwe exemplaren op servers met een geüpgradede versie van OpenSSL. Plaats geen nieuwe sleutels en certificaten op servers zolang deze nog kwetsbaar zijn.
  6. Laat uw certificaatleverancier (zoals KPN) de certificaten intrekken die u zojuist vervangen heeft.

De private keys van mijn certificaten staan op een HSM, moet ik dan ook vervangen?

Geheime sleutels van certificaten die alleen opgeslagen zijn in een HSM, zijn in principe niet bereikbaar voor een aanval via deze kwetsbaarheid. In dit geval hoeft u deze certificaten niet te vervangen.
Wel dient u een OpenSSL versie te installeren waarin de kwetsbaarheid niet meer aanwezig is.
Moet ik mijn klanten informeren over mogelijk datalekken en fraude?

De kwetsbaarheid in OpenSSL bestaat al sinds maart 2012 en is pas begin april 2014 ontdekt en gerepareerd. Gedurende deze periode was de recentste versie van OpenSSL steeds kwetsbaar en kan er gevoelig materiaal zijn buitgemaakt zoals wachtwoorden, sessiesleutels en gevoelige (klant)gegevens.

Als deze OpenSSL versie geïnstalleerd is (geweest) op systemen die klant data bevatten cq. uitwisselen, overweeg dan om uw klanten te informeren over de situatie en stappen die ze zelf kunnen nemen om fraude met hun gegevens te voorkomen, zoals het wijzigen van wachtwoorden.
In sommige gevallen kan het voorkomen dat u melding dient te maken van dataverlies of lekken persoonsgegevens bij de autoriteiten.

Is de Heartbleed kwetsbaarheid alleen op PKIoverheid certificaten van toepassing?

Nee, de kwetsbaarheid betreft alle typen certificaten.
Hoe bepaal ik of ik mijn certificaat moet vervangen?

In veel gevallen zal het raadzaam zijn om uw certificaat te vervangen. Het is niet te detecteren of hackers in het verleden gebruik hebben gemaakt van deze kwetsbaarheid en mogelijk reeds in het bezit zijn van de private sleutel van uw certificaat.
Indien u een HSM gebruikt is het niet mogelijk dat de private sleutel van uw certificaat is gekopieerd door deze kwetsbaarheid.
Hoe start ik het aanvraagproces op?

Zie de Toelichting aanvraag servercertificaat
Hoe lang duurt het voordat ik een vervangend certificaat heb?

Voor bestaande abonnees met reeds geïdentificeerde certificaatbeheerders neemt een aanvraag doorgaans maximaal 2 dagen in beslag, uitgaande van een volledig en correcte aanvraaggegevens.

Houdt u rekening mee met de drukte die kan ontstaan door het aantal aanvragen als gevolg van de Heartbeat kwetsbaarheid.

Wat kost een vervangend PKIoverheid servercertificaat?

Zie voor de actuele tarieven de prijslijst.

Als u een certificaat wilt vervangen door een nieuw certificaat, dan dient u in de certificaat aanvraag aan te geven dat het om een vervanging gaat. Onder bepaalde voorwaarden kunt u aanspraak maken op een gereduceerd vervangingstarief. Zie hiervoor de productinformatie voor het betreffende type servercertificaat.

Hoe zorg ik dat het oude certificaat wordt ingetrokken?

Lees meer over hoe u een certificaat kunt intrekken.