Veelgestelde vragen over de vervanging van servercertificaten

Aantal certificaten voldoet niet aan de internationale eisen

Donderdag 2 juli 2020 werd bij Policy Authority (PA) Logius bekend dat er wereldwijd een reeks certificaten wordt gebruikt die niet voldoet aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het Nationaal Cyber Security Centrum (NCSC) is onderzoek uitgevoerd. Conclusie is dat er sprake is van een beveiligings-kwetsbaarheid. Hoewel het risico als zeer klein wordt ingeschat, is dit voor het vertrouwenstelsel van PKIoverheid niet acceptabel. Daarom wordt er actie ondernomen.
Meer informatie is te vinden in de veelgestelde vragen op de website van Logius. Daarnaast heeft het Nationaal Cyber Security Centrum een factsheet uitgeven, waarin het vervangingsplan en de daarbij passende handelsperspectieven gebundeld zijn.

Zorgen voor het juiste certificaat voor het bedoelde gebruik

Belangrijk uitgangspunt in de vervangingsoperatie is dat klanten van KPN certificaten krijgen, afgestemd op het gebruik in de praktijk:

  • Standaard Servercertificaten, bedoeld voor publiek internetverkeer (webdiensten); of
  • Private Servercertificaten voor machine-to-machine verkeer.

Browserpartijen hebben geen invloed op private certificaten, maar deze certificaten voldoen uiteraard wel aan de strikte eisen van het PKIoverheidstelsel. Private certificaten hebben bovendien als voordeel dat ze minder vaak vervangen hoeven te worden, omdat de looptijd twee of drie jaar is in plaats van één.

Gehanteerde tijdslijnen voor de vervanging

Voor de vervanging van de verschillende soorten certificaten geldt de volgende planning:
Vervanging servercertificaten
Met daarin de volgende mijlpalen:

  • In opdracht van Logius trekt KPN in januari 2021 alle oude G3 servercertificaten in. Servers waarop het vervangende certificaat niet is vervangen functioneren mogelijk niet langer, danwel onvolledig.
  • KPN heeft vervangende certificaten onder de nieuwe KPN Server CA 2020 Root verstrekt voor websites en vervangende certificaten onder de Private Root voor machine-to-machine verkeer. Klanten dienen deze uiterlijk 31 december 2020 te installeren;

Let op: bestaande standaard servercertificaten met tweeledig gebruik (zowel publieke website als machine-to-machine verkeer) dienen vervangen te worden door 2 afzonderlijke certificaten.

Contactgegevens

Indien u andere vragen heeft dan hier beantwoord dan kunt u contact opnemen via:

Email: pkivalidation@kpn.com
Telefoonnummer: 088-661 03 28

Veelgestelde vragen

Het vervangingsplan

Wat is er aan de hand?

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Op basis daarvan is een actieplan opgesteld voor het vervangen van certificaten, dat actieplan is nu in volle gang.
Wat wordt er aan gedaan?

Hoe KPN in opdracht van Logius aan het vervangingsplan werkt leest u op de website van Logius. Kort samengevat moeten een aantal soorten certificaten vervangen worden.

PKIoverheidscertificaten in het publieke internetverkeer

Alle PKIoverheid EV SSL/QWAC servercertificaten en alle PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven, worden vervangen door PKIoverheid standaard servercertificaten onder de nieuwe EV PKIo-hiërarchie.
Publiek vertrouwd betekent dat certificaten geschikt blijven voor gebruik in publiek internetverkeer (denk aan websites). PKIoverheid heeft haar EV PKIo-hiërarchie toegewezen om deze te gebruiken voor de uitgifte van PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven.

PKIoverheidscertificaten in het private machine-to-machine verkeer

Certificaten die gebruikt worden voor machine-to-machine verkeer (zoals voor Digipoort en SBR) moeten uiteindelijk overgaan (actief vervangen of via natuurlijk verloop) naar een privaat certificaat.
De huidige certificaten onder de G3 root, kunnen na implementatie van het plan niet meer gebruikt worden in publiek internetverkeer.

Wat kan ik zelf doen?

Als er wijzigingen noodzakelijk zijn in de eindcertificaten die u gebruikt, dan stelt KPN u daarvan op de hoogte. Bent u een certificaathouder (gebruiker van een certificaat)? Wacht dan op bericht van KPN.
Wilt u hierover meer lezen, raadpleeg dan de factsheet van het Nationaal Cyber Security Centrum (NCSC).
Welke deadlines en belangrijke data zijn er?

Uitgangspunt voor de PKIoverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken. Na zorgvuldige afweging van de risico’s is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. De belangrijkste data zijn:
 

  • In januari 2021 worden alle servercertificaten die zijn uitgegeven onder de G3 root in opdracht van Logius ingetrokken.
  • Op 31 december dienen alle servercertificaten uitgegeven onder de G3 root vervangen te zijn. Voor certificaten uit de G3 root die gebruikt worden voor machine-naar-machine verkeer kunnen certificaten uit de reeds bestaande G1 Private Root gebruikt worden.
    • Let op dat uw machine-naar-machine software om kan gaan met certificaten die niet worden vertrouwd door webbrowsers.
  • 1 oktober 2020 moeten alle publiek gebruikte certificaten (certificaten die gebruikt worden voor websites) vervangen zijn.
    • Voor het vervangen van door websites gebruikte certificaten is er een nieuw domein gecreëerd onder de EV Root. Dit is het domein Server CA 2020.
    • Let op dat u er voor zorgt dat het nieuwe domein Server CA 2020 wordt vertrouwd in uw software.

Waarom verschillen de deadlines van NCSC en KPN?

KPN volgt de deadlines van Logius.
In de factsheet van het NCSC staat geschreven dat Logius een tijdpad tot en met januari 2021 heeft vastgesteld. Hierdoor ontvangen we vragen of de gestelde deadlines van 1 oktober en 31 december onjuist zijn. Het NCSC refereert in de tekst naar de uiterste datum waarop de vervangingen geregeld moeten zijn. Logius stimuleert partijen om op tijd klaar te zijn en hanteert daarom een strakker tijdpad. Zo wil men uitval voorkomen.
Wat gebeurt er als mijn certificaat niet op tijd vervangen is?

In januari 2021 worden alle servercertificaten die zijn uitgegeven onder de G3 root in opdracht van Logius ingetrokken. Websites of diensten die daarna nog gebruik maken van dit type servercertificaat functioneren mogelijk niet langer, danwel onvolledig.
Ik maak me zorgen omdat ik vermoed dat er meer vervangen moet worden dan ik heb gehoord van KPN

Bespreekt dit met uw technisch deskundige. Vermoeden jullie beiden dat dit zo is, neem dan contact op met KPN.
Ik gebruik PKIoverheid smartcards, blijft onze dienstverlening werken als de root uit de trust store wordt gehaald?

  • Uw PKIoverheid persoon- en beroepsgebonden certificaten en gekwalificeerde handtekeningen blijven (ook juridisch gezien) onverminderd geldig.
  • Deze certificaten hoeven niet te worden vervangen.
  • U kunt G3 certificaten op (mobiele) smartcards blijven aanvragen of verlengen.
  • De PKIoverheid G3 root blijft publiek vertrouwd voor de meeste (gangbare) browsers, besturingssystemen en Adobe Acrobat.
  • Logius heeft hierover afspraken gemaakt met een aantal browserpartijen (zoals Microsoft en Mozilla). Google baseert haar beleid voor publiek vertrouwen in Root CA’s op het beleid van Mozilla.
  • Logius adviseert om voor de zekerheid handmatig de PKIoverheid G3 root toe te voegen aan applicaties, die gebruik maken van het publieke vertrouwen in certificaten onder de G3 root. Hierdoor voorkomt u een mogelijke foutmelding/waarschuwing.
    Bijvoorbeeld voor Apple browsers en besturingssystemen is dit publieke vertrouwen in de PKIoverheid G3 root momenteel onzeker.

Technische vragen

Hoe kan ik het vervangende certificaat in gebruik nemen?

Op de pagina Certificaat Vervangen vindt de juiste stappen om u certificaat klaar te maken voor gebruik.
Kan ik zelf controleren of er wijzigingen te verwachten zijn?

Ja dat kan. Lees daarvoor de factsheet van het NCSC.
Wat is machine-to-machineverkeer?

Machine-to-machine verkeer betreft verkeer tussen besloten systemen. Machine-to-machine verkeer maakt geen gebruik van webbrowsers.
Zijn er nieuwe csr-bestanden nodig voor de certificaten?

Nee, om uitgifte te vereenvoudigen is besloten voor dit specifieke geval hergebruik van csr-bestanden toe te staan.
Wat zijn publieke en private certificaten? Wat is het verschil?

Met publieke certificaten bedoelen wij certificaten die vertrouwd worden door de browserpartijen. De Root waarop deze certificaten gebaseerd zijn moet opgenomen zijn in de truststores van de browserpartijen.
 
Met private certificaten bedoelen wij certificaten waarbij de Root niet is opgenomen in de truststores van de browserpartijen.
Waarom hebben private certificaten de voorkeur over publieke?

Certificaten onder de publieke root (voorheen G3, nu EV) zijn vaak onderhevig aan veranderende eisen. Certificaten onder de private root (G1) vallen buiten het beleid van de browserpartijen en zijn daarom de betere keuze voor vitale (besloten) systemen, zoals machine-to-machine verkeer.

Achtergrondinformatie

Wat zijn PKIoverheid-certificaten?

Een PKIoverheid-certificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Bij diensten van de Nederlandse overheid heeft u meestal een digitaal certificaat van PKIoverheid nodig. Dit waarborgt de betrouwbaarheid van informatie-uitwisseling via e-mail en websites op basis van Nederlandse wetgeving.
Digitale certificaten worden in de praktijk vaak georganiseerd in een Public Key Infrastructure (PKI). Met behulp van een PKI kan een partij de authenticiteit van een aangeboden eindcertificaat controleren. Een PKI bestaat uit een aantal stamcertificaten en afspraken over de manier waarop vertrouwen in uitgegeven eindcertificaten wordt toegekend.
Wat is de rol van KPN?

KPN is de certificaatverstrekker die uw PKIoverheid-certificaten uitgeeft. Voor de duidelijkheid: certificaatverstrekkers worden ook wel TSP’s (Trust Service Providers) genoemd. Met vragen, meldingen en klachten over een PKIoverheid-certificaat kunt u bij KPN terecht.
Wat is de rol van Logius?

Logius heeft de rol van Policy Authority (PA) van PKIoverheid. Lees meer over deze rol.