Veelgestelde vragen over de vervanging van servercertificaten

Aantal certificaten voldoet niet aan de internationale eisen

Donderdag 2 juli 2020 werd bij Policy Authority (PA) Logius bekend dat er wereldwijd een reeks certificaten wordt gebruikt die niet voldoet aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het Nationaal Cyber Security Centrum (NCSC) is onderzoek uitgevoerd. Conclusie is dat er sprake is van een beveiligings-kwetsbaarheid. Hoewel het risico als zeer klein wordt ingeschat, is dit voor het vertrouwenstelsel van PKIoverheid niet acceptabel. Daarom wordt er actie ondernomen.
Meer informatie is te vinden in de veelgestelde vragen op de website van Logius. Daarnaast heeft het Nationaal Cyber Security Centrum een factsheet uitgeven, waarin het vervangingsplan en de daarbij passende handelsperspectieven gebundeld zijn.

Zorgen voor het juiste certificaat voor het bedoelde gebruik

Belangrijk uitgangspunt tijdens de vervangingsoperatie was dat klanten van KPN certificaten krijgen, afgestemd op het gebruik in de praktijk:

  • Standaard Servercertificaten, bedoeld voor publiek internetverkeer (webdiensten); of
  • Private Servercertificaten voor machine-to-machine verkeer.

Browserpartijen hebben geen invloed op private certificaten, maar deze certificaten voldoen uiteraard wel aan de strikte eisen van het PKIoverheidstelsel. Private certificaten hebben bovendien als voordeel dat ze minder vaak vervangen hoeven te worden, omdat de looptijd twee of drie jaar is in plaats van één.

Gehanteerde tijdslijnen voor de vervanging

Voor de vervanging van de verschillende soorten certificaten geldt de volgende planning:
Vervanging servercertificaten
Met daarin de volgende mijlpalen:

  • In opdracht van Logius heeft KPN alle G3 servercertificaten ingetrokken. Servers waarop het vervangende certificaat niet is vervangen functioneren mogelijk niet langer, danwel onvolledig.
  • KPN heeft vervangende certificaten onder de nieuwe KPN Server CA 2020 Root verstrekt voor websites en vervangende certificaten onder de Private Root voor machine-to-machine verkeer.

Contactgegevens

Indien u andere vragen heeft dan hier beantwoord dan kunt u contact opnemen via:

Email: pkivalidation@kpn.com
Telefoonnummer: 088-661 03 28

Veelgestelde vragen

Het vervangingsplan

Wat was er aan de hand?

Donderdag 2 juli 2020 werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Op basis daarvan is een actieplan opgesteld voor het vervangen van certificaten, dat actieplan is uitgevoerd.
Wat is er aan gedaan?

KPN heeft in opdracht van Logius een aantal soorten certificaten vervangen.

PKIoverheidscertificaten in het publieke internetverkeer

Alle PKIoverheid EV SSL/QWAC servercertificaten en alle PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven, zijn vervangen met PKIoverheid standaard servercertificaten onder de nieuwe EV PKIo-hiërarchie.
Publiek vertrouwd betekent dat certificaten geschikt blijven voor gebruik in publiek internetverkeer (denk aan websites). PKIoverheid heeft haar EV PKIo-hiërarchie toegewezen om deze te gebruiken voor de uitgifte van PKIoverheid standaard servercertificaten die publiek vertrouwd moeten blijven.

PKIoverheidscertificaten in het private machine-to-machine verkeer

Certificaten die gebruikt worden voor machine-to-machine verkeer (zoals voor Digipoort en SBR) zijn overgegaan (actief vervangen of via natuurlijk verloop) naar een privaat certificaat.
 
De oude servercertificaten onder de G3 root, zijn niet langer geldig.

Wat kan ik zelf doen?

Als er wijzigingen noodzakelijk zijn in de eindcertificaten die u gebruikt, dan heeft KPN u daarvan op de hoogte gesteld.
Wilt u hierover meer lezen, raadpleeg dan de factsheet van het Nationaal Cyber Security Centrum (NCSC).
Welke deadlines en belangrijke data gelden er?

Uitgangspunt voor de PKIoverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken.
Na zorgvuldige afweging van de risico’s is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. Dit plan is inmiddels uitgevoerd en alle G3 servercertificaten zijn ingetrokken.
Wat gebeurt er als mijn certificaat niet op tijd vervangen is?

In januari 2021 zijn alle G3 servercertificaten in opdracht van Logius ingetrokken. Websites of diensten die daarna nog gebruik maken van dit type servercertificaat functioneren mogelijk niet langer, danwel onvolledig.
Ik gebruik PKIoverheid smartcards, blijft onze dienstverlening werken als de root uit de trust store wordt gehaald?

  • Uw PKIoverheid persoon- en beroepsgebonden certificaten en gekwalificeerde handtekeningen blijven (ook juridisch gezien) onverminderd geldig.
  • Deze certificaten hoeven niet te worden vervangen.
  • U kunt G3 certificaten op (mobiele) smartcards blijven aanvragen of verlengen.
  • De PKIoverheid G3 root blijft publiek vertrouwd voor de meeste (gangbare) browsers, besturingssystemen en Adobe Acrobat.
  • Logius heeft hierover afspraken gemaakt met een aantal browserpartijen (zoals Microsoft en Mozilla). Google baseert haar beleid voor publiek vertrouwen in Root CA’s op het beleid van Mozilla.
  • Logius adviseert om voor de zekerheid handmatig de PKIoverheid G3 root toe te voegen aan applicaties, die gebruik maken van het publieke vertrouwen in certificaten onder de G3 root. Hierdoor voorkomt u een mogelijke foutmelding/waarschuwing.
    Bijvoorbeeld voor Apple browsers en besturingssystemen is dit publieke vertrouwen in de PKIoverheid G3 root momenteel onzeker.

Technische vragen

Hoe kan ik het vervangende certificaat in gebruik nemen?

Op de pagina Certificaat Vervangen vindt de juiste stappen om u certificaat klaar te maken voor gebruik.
Kan ik zelf controleren of er wijzigingen te verwachten zijn?

Ja dat kan. Lees daarvoor de factsheet van het NCSC.
Wat is machine-to-machineverkeer?

Machine-to-machine verkeer betreft verkeer tussen besloten systemen. Machine-to-machine verkeer maakt geen gebruik van webbrowsers.
Wat zijn publieke en private certificaten? Wat is het verschil?

Met publieke certificaten bedoelen wij certificaten die vertrouwd worden door de browserpartijen. De Root waarop deze certificaten gebaseerd zijn moet opgenomen zijn in de truststores van de browserpartijen.
 
Met private certificaten bedoelen wij certificaten waarbij de Root niet is opgenomen in de truststores van de browserpartijen.
Waarom hebben private certificaten de voorkeur over publieke?

Certificaten onder de publieke root (voorheen G3, nu EV) zijn vaak onderhevig aan veranderende eisen. Certificaten onder de private root (G1) vallen buiten het beleid van de browserpartijen en zijn daarom de betere keuze voor vitale (besloten) systemen, zoals machine-to-machine verkeer.

Achtergrondinformatie

Wat zijn PKIoverheid-certificaten?

Een PKIoverheid-certificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Bij diensten van de Nederlandse overheid heeft u meestal een digitaal certificaat van PKIoverheid nodig. Dit waarborgt de betrouwbaarheid van informatie-uitwisseling via e-mail en websites op basis van Nederlandse wetgeving.
Digitale certificaten worden in de praktijk vaak georganiseerd in een Public Key Infrastructure (PKI). Met behulp van een PKI kan een partij de authenticiteit van een aangeboden eindcertificaat controleren. Een PKI bestaat uit een aantal stamcertificaten en afspraken over de manier waarop vertrouwen in uitgegeven eindcertificaten wordt toegekend.
Wat is de rol van KPN?

KPN is de certificaatverstrekker die uw PKIoverheid-certificaten uitgeeft. Voor de duidelijkheid: certificaatverstrekkers worden ook wel TSP’s (Trust Service Providers) genoemd. Met vragen, meldingen en klachten over een PKIoverheid-certificaat kunt u bij KPN terecht.
Wat is de rol van Logius?

Logius heeft de rol van Policy Authority (PA) van PKIoverheid. Lees meer over deze rol.