Logius liet afgelopen zomer weten dat de uitgifte van publiek vertrouwde webcertificaten (SSL/TLS) onder PKIoverheid per 4 december 2022 stopt. In vogelvlucht neemt dit artikel u mee in wat dit betekent voor uw organisatie en hoe Telengy u kan helpen bij deze transitie.
Achtergrond van uitgiftestop PKIoverheid
Nadat in 2019 en 2020 incidenten plaatsvonden rondom de publiek vertrouwde webcertificaten (SSL/TLS) zijn al deze certificaten in het najaar van 2020 onder een nieuw PKI-domein uitgegeven: Server CA 2020. Daarnaast leidden deze incidenten tot een evaluatie van het continueren van de PKIoverheid certificaten.
Uit de evaluatie kwam naar voren dat het uitgeven van publiek vertrouwde webcertificaten (SSL/TLS) door een stelselverantwoordelijke niet langer noodzakelijk en realistisch is. De Staatssecretaris van BZK heeft daarom besloten om na het verlopen van het huidige publiek vertrouwde Domein Server CA 2020 voorlopig geen nieuwe publiek vertrouwde root op te starten.
Wat betekent dit voor een organisatie?
Alle PKIoverheid webcertificaten (SSL/TLS) die een overheidsorganisatie op dit moment in gebruik heeft, zijn uiterlijk tot 4 december 2022 geldig. Dit betekent dat bij de eerstvolgende certificaatvervanging en vóór 4 december de organisatie moet overstappen naar een certificaat van een marktpartij. Dit geldt alleen voor de publiek vertrouwde servercertificaten en niet voor andere PKIoverheid certificaten.
In het licht van deze verandering laat DigiD per direct de eis vervallen dat het webservercertificaat van de webdienst een PKIoverheid certificaat moet zijn (norm T2 uit de DigiD Checklist Testen). Voor de aansluiting blijft een PKI overheid certificaat wel verplicht. Dit moet een PKIo Private Root CA – G1 certificaat worden.
Het vervangen van het certificaat van de webdienst kunt u zelf regelen. De wijziging van het certificaat op de aansluiting dient u zoals gebruikelijk in via het wijzigingsformulier van DigiD. Afhankelijk van het type aansluiting dat u heeft zijn er voor u andere aandachtspunten.
Hoe overstappen?
Door de overstap naar een marktpartij voor deze webserver certificaten, heeft de organisatie de keuze uit een groot aantal leveranciers en uit verschillende typen certificaten voor de domeinen die beveiligd moeten worden.
Het Nationaal Cyber Security Centrum (NCSC) heeft een factsheet opgesteld. Hierin vindt u meer informatie over typen webcertificaten en aandachtspunten bij deze overstap. Als algemeen stappenplan stelt NCSC het volgende voor:
- Ga na welke van uw certificaten publiek vertrouwde webservercertificaten van PKIoverheid zijn.
- Bepaal voor elk van deze certificaten door welk type certificaat u het wilt vervangen.
- Kies vervolgens een of meerdere certificaatleveranciers die de benodigde certificaten kunnen leveren.
Coördineren overstap
Het is van belang dat u op tijd de nodige stappen zet voor de overstap naar certificaten van een marktpartij, zodat de beveiliging van de webdiensten ononderbroken wordt voortgezet. Telengy kan hierbij ondersteunen door de overstap te coördineren. Hierbij hanteren we de volgende aanpak:
- Projectgroep: we zorgen dat vooraf duidelijk is wie in uw organisatie op welke manier betrokken moet zijn bij de overstap.
- Inventarisatie huidige situatie: we zorgen voor een volledig beeld van de PKIoverheid webserver certificaten die u in gebruik heeft en wanneer de geldigheid van deze certificaten verloopt (het ideale moment voor de overstap naar een nieuw certificaat).
- Inventarisatie gewenste situatie: we brengen in kaart welke factoren voor u relevant zijn in de keuze van een nieuwe leverancier en type certificaten (denk hierbij aan zaken als procedures en ondersteuning vanuit de leverancier en het controleniveau van certificaten).
- Selectie: op basis van uw situatie en uw eisen/wensen voor de nieuwe situatie adviseren we u over de juiste match met mogelijke leveranciers en type certificaten voor uw domeinen.
Meer weten?
Voor meer informatie kun je contact opnemen met Andriesa van der Klis, adviseur bij Telengy, via 06 15 24 10 98, A.v.d.Klis@telengy.nl of of Eline van Lieshout, e.v.lieshout@telengy.nl, 06 14 31 62 03.