Veelgestelde vragen over de vervanging van servercertificaten

Aantal certificaten voldoet niet aan de internationale eisen

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er wereldwijd een reeks certificaten wordt gebruikt die niet voldoet aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het Nationaal Cyber Security Centrum (NCSC) is onderzoek uitgevoerd. Conclusie is dat er sprake is van een beveiligings-kwetsbaarheid. Hoewel het risico als zeer klein wordt ingeschat, is dit voor het vertrouwenstelsel van PKIoverheid niet acceptabel. Daarom wordt er actie ondernomen.
Meer informatie is te vinden in de veelgestelde vragen op de website van Logius. Daarnaast heeft het Nationaal Cyber Security Centrum een factsheet uitgeven, waarin het vervangingsplan en de daarbij passende handelsperspectieven gebundeld zijn.

Zorgen voor het juiste certificaat voor het bedoelde gebruik

Belangrijk uitgangspunt in de vervangingsoperatie is dat klanten van KPN certificaten krijgen, afgestemd op het gebruik in de praktijk:

  • Standaard Servercertificaten, bedoeld voor publiek internetverkeer (webdiensten); of
  • Private Servercertificaten voor machine-to-machine verkeer.

Browserpartijen hebben geen invloed op private certificaten, maar deze certificaten voldoen uiteraard wel aan de strikte eisen van het PKIoverheidstelsel. Private certificaten hebben bovendien als voordeel dat ze minder vaak vervangen hoeven te worden, omdat de looptijd twee of drie jaar is in plaats van één.

Gehanteerde tijdslijnen voor de vervanging

Voor de vervanging van de verschillende soorten certificaten geldt de volgende planning:
Vervanging servercertificaten
Met daarin de volgende mijlpalen:

  1. EV SSL certificaten worden vervangen met certificaten onder de nieuwe Server CA 2020 (afgerond);
  2. Standaard servercertificaten die gebruikt worden voor publieke websites worden vervangen met certificaten onder de nieuwe Server CA 2020;
  3. Standaard servercertificaten die gebruikt worden voor machine-to-machine verkeer worden vervangen met PRIVATE certificaten.

Let op: bestaande standaard servercertificaten met tweeledig gebruik (zowel publieke website als machine-to-machine verkeer) dienen vervangen te worden door 2 afzonderlijke certificaten.

Veelgestelde vragen

Het vervangingsplan

Wat is er aan de hand?

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Op basis daarvan is een actieplan opgesteld voor het vervangen van certificaten, dat actieplan is nu in volle gang.
Wat wordt er aan gedaan?

Hoe KPN in opdracht van Logius aan het vervangingsplan werkt leest u op de website van Logius. Kort samengevat moeten een aantal soorten certificaten vervangen worden.

PKIoverheidscertificaten in het publieke internetverkeer

Alle PKIoverheid EV SSL/QWAC servercertificaten en alle PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven, worden vervangen door PKIoverheid standaard servercertificaten onder de nieuwe EV PKIo-hiërarchie.
Publiek vertrouwd betekent dat certificaten geschikt blijven voor gebruik in publiek internetverkeer (denk aan websites). PKIoverheid heeft haar EV PKIo-hiërarchie toegewezen om deze te gebruiken voor de uitgifte van PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven.

PKIoverheidscertificaten in het private machine-to-machine verkeer

Certificaten die gebruikt worden voor machine-to-machine verkeer (zoals voor Digipoort en SBR) moeten uiteindelijk overgaan (actief vervangen of via natuurlijk verloop) naar een privaat certificaat.
De huidige certificaten onder de G3 root, kunnen na implementatie van het plan niet meer gebruikt worden in publiek internetverkeer.

Wat kan ik zelf doen?

Als er wijzigingen noodzakelijk zijn in de eindcertificaten die u gebruikt, dan stelt KPN u daarvan op de hoogte. Bent u een certificaathouder (gebruiker van een certificaat)? Wacht dan op bericht van KPN.
Wilt u hierover meer lezen, raadpleeg dan de factsheet van het Nationaal Cyber Security Centrum (NCSC).
Welke deadlines en belangrijke data zijn er?

Uitgangspunt voor de PKioverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken. Na zorgvuldige afweging van de risico’s is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. Daarin staan deze data:
 

  • 1 oktober 2020 moeten alle publiek gebruikte certificaten (certificaten die gebruikt worden voor websites) vervangen zijn.
    • Voor het vervangen van door websites gebruikte certificaten is er een nieuw domein gecreëerd onder de EV Root. Dit is het domein Server 2020.
    • Let op dat u er voor zorgt dat het nieuwe domein Server 2020 wordt vertrouwd in uw software.
  • Vanaf 31 december worden certificaten uitgegeven onder de G3 root niet meer vertrouwd door browsers. Voor certificaten uit de G3 root die gebruikt worden voor machine-naar-machine verkeer kunnen certificaten uit de reeds bestaande G1 Private Root gebruikt worden.
    • Let op dat uw machine-naar-machine software om kan gaan met certificaten die niet worden vertrouwd door webbrowsers.

Waarom verschillen de deadlines van NCSC en KPN?

KPN volgt de deadlines van Logius.
In de factsheet van het NCSC staat geschreven dat Logius een tijdpad tot en met januari 2021 heeft vastgesteld. Hierdoor ontvangen we vragen of de gestelde deadlines van 1 oktober en 31 december onjuist zijn. Het NCSC refereert in de tekst naar de uiterste datum waarop de vervangingen geregeld moeten zijn. Logius stimuleert partijen om op tijd klaar te zijn en hanteert daarom een strakker tijdpad. Zo wil men uitval voorkomen.
Wat gebeurt er als mijn certificaat niet op tijd vervangen is?

Het is belangrijk dat uw certificaten voldoen aan de gestelde eisen. Als uw certificaat niet op tijd vervangen is, terwijl dat wel had gemoeten, dan loopt u het risico dat uw website of dienst niet (optimaal) functioneert.
Ik maak me zorgen omdat ik vermoed dat er meer vervangen moet worden dan ik heb gehoord van KPN

Bespreekt dit met uw technisch deskundige. Vermoeden jullie beiden dat dit zo is, neem dan contact op met KPN.
Ik gebruik PKIoverheid smartcards, blijft onze dienstverlening werken als de root uit de trust store wordt gehaald?

Voor uw dienstverlening geldt dat in veel gevallen er geen impact zal zijn, mits uw applicatie niet afhankelijk is van het vertrouwen in de trust store. Uw PKIoverheid certificaten blijven geldig.
Softwareprogramma’s kunnen controles ingebouwd hebben die uitgezet of veranderd moeten worden als ze gebruik maken van de trust stores (in de browsers).

Technische vragen

Hoe kan ik het vervangende certificaat in gebruik nemen?

Op de pagina Certificaat Vervangen vindt de juiste stappen om u certificaat klaar te maken voor gebruik.
Kan ik zelf controleren of er wijzigingen te verwachten zijn?

Ja dat kan. Lees daarvoor de factsheet van het NCSC.
Wat is machine-to-machineverkeer?

Machine-to-machine verkeer betreft verkeer tussen besloten systemen. Machine-to-machine verkeer maakt geen gebruik van webbrowsers.
Zijn er nieuwe csr-bestanden nodig voor de certificaten?

Nee, om uitgifte te vereenvoudigen is besloten voor dit specifieke geval hergebruik van csr-bestanden toe te staan.
Wat zijn publieke en private certificaten? Wat is het verschil?

Met publieke certificaten bedoelen wij certificaten die vertrouwd worden door de browserpartijen. De Root waarop deze certificaten gebaseerd zijn moet opgenomen zijn in de truststores van de browserpartijen.
 
Met private certificaten bedoelen wij certificaten waarbij de Root niet is opgenomen in de truststores van de browserpartijen.
Waarom hebben private certificaten de voorkeur over publieke?

Certificaten onder de publieke root (voorheen G3, nu EV) zijn vaak onderhevig aan veranderende eisen. Certificaten onder de private root (G1) vallen buiten het beleid van de browserpartijen en zijn daarom de betere keuze voor vitale (besloten) systemen, zoals machine-to-machine verkeer.

Achtergrondinformatie

Wat zijn PKIoverheid-certificaten?

Een PKIoverheid-certificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Bij diensten van de Nederlandse overheid heeft u meestal een digitaal certificaat van PKIoverheid nodig. Dit waarborgt de betrouwbaarheid van informatie-uitwisseling via e-mail en websites op basis van Nederlandse wetgeving.
Digitale certificaten worden in de praktijk vaak georganiseerd in een Public Key Infrastructure (PKI). Met behulp van een PKI kan een partij de authenticiteit van een aangeboden eindcertificaat controleren. Een PKI bestaat uit een aantal stamcertificaten en afspraken over de manier waarop vertrouwen in uitgegeven eindcertificaten wordt toegekend.
Wat is de rol van KPN?

KPN is de certificaatverstrekker die uw PKIoverheid-certificaten uitgeeft. Voor de duidelijkheid: certificaatverstrekkers worden ook wel TSP’s (Trust Service Providers) genoemd. Met vragen, meldingen en klachten over een PKIoverheid-certificaat kunt u bij KPN terecht.
Wat is de rol van Logius?

Logius heeft de rol van Policy Authority (PA) van PKIoverheid. Lees meer over deze rol.