Veelgestelde vragen over de opgelegde vervanging van certificaten

Aantal certificaten voldoet niet aan de internationale eisen

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er wereldwijd een reeks certificaten wordt gebruikt die niet voldoet aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Conclusie is dat er sprake is van een beveiligings-kwetsbaarheid. Hoewel het risico als zeer klein wordt ingeschat, is dit voor het vertrouwenstelsel van PKIoverheid niet acceptabel. Daarom wordt er actie ondernomen.
Meer informatie is te vinden op de website van Logius.

Zorgen voor het juiste certificaat voor het bedoelde gebruik

Belangrijk uitgangspunt in de vervangingsoperatie is dat klanten van KPN certificaten krijgen, afgestemd op het gebruik in de praktijk:

  • Standaard Servercertificaten, bedoeld voor publiek internetverkeer (webdiensten); of
  • Private Servercertificaten voor machine-to-machine verkeer.

Browserpartijen hebben geen invloed op private certificaten, maar deze certificaten voldoen uiteraard wel aan de strikte eisen van het PKIoverheidstelsel. Private certificaten hebben bovendien als voordeel dat ze minder vaak vervangen hoeven te worden, omdat de looptijd drie jaar is in plaats van één.

Veelgestelde vragen

Wat is het probleem met de certificaten?

Onlangs is bekend geworden dat er mondiaal een reeks PKI certificaten (Public Key Infrastructure certificaten) worden gebruikt die niet voldoen aan de afgesproken richtlijnen. Dit betreft een veld in CA certificaten, dat werd gebruik om interoperabiliteit te behouden met sommige Microsoft producten. Dit veld is niet (meer) toegestaan. Dit levert in de praktijk een zeer klein veiligheidsrisico op. De consensus binnen de internationale community (CA/B Forum) is dat hierop actie dient te worden ondernomen.
Wat zijn de consequenties?

De overheid heeft besloten dat:
 

  1. De PKIoverheid G3 root binnen 6 maanden verwijderd wordt uit de trust stores (van de browsers);
  2. PKIoverheid Private certificaten de standaard worden voor machine-to-machine verkeer (zoals Digipoort en SBR);
  3. De uitgifte van PKIoverheid EV SSL/QWAC certificaten gestopt wordt. Actieve certificaten zullen worden vervangen. Het vervangende certificaat dient uiterlijk 31 augustus 2020 door u geïnstalleerd te worden;
  4. PKIoverheid standaard servercertificaten die actief gebruikt worden voor publieke websites, proactief vervangen worden.

Overige PKIoverheid certificaten blijven onverminderd geldig

Wat is de oplossing?

PKIoverheidscertificaten in het publieke internetverkeer

Alle PKIoverheid EV SSL/QWAC servercertificaten en alle PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven, worden vervangen door PKIoverheid standaard servercertificaten onder de nieuwe EV PKIo-hiërarchie.
Publiek vertrouwd betekent dat certificaten geschikt blijven voor gebruik in publiek internetverkeer (denk aan websites). PKIoverheid heeft haar EV PKIo-hiërarchie toegewezen om deze te gebruiken voor de uitgifte van PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven.

PKIoverheidscertificaten in het private machine-to-machine verkeer

Certificaten die gebruikt worden voor machine-to-machine verkeer (zoals voor Digipoort en SBR) moeten uiteindelijk overgaan (actief vervangen of via natuurlijk verloop) naar een privaat certificaat.
De huidige certificaten onder de G3 root, kunnen na implementatie van het plan niet meer gebruikt worden in publiek internetverkeer.

Wat betekent dit voor mij?

KPN zal contact met u opnemen, indien uw certificaat moet worden vervangen.
Als er certificaten vervangen moeten worden: lopen we risico op onderbreking in onze dienstverlening?

Een aantal gebruikerscertificaten wordt aangepast of vervangen. Door uw vervangende certificaat tijdig te installeren, voorkomt u onderbreking van uw dienstverlening.
Ik gebruik PKIoverheid smartcards, blijft onze dienstverlening werken als de root uit de trust store wordt gehaald?

Voor uw dienstverlening geldt dat in veel gevallen er geen impact zal zijn, mits uw applicatie niet afhankelijk is van het vertrouwen in de trust store. Uw PKIoverheid certificaten blijven geldig.
Softwareprogramma’s kunnen controles ingebouwd hebben die uitgezet of veranderd moeten worden als ze gebruik maken van de trust stores (in de browsers).