PKIoverheid stopt met uitgeven publiek vertrouwde SSL certificaten

5 oktober 2021

Begin augustus dit jaar heeft Logius, de ICT beheerorganisatie van de overheid, aangekondigd nog dit jaar te stoppen met het aanbieden van publiek vertrouwde SSL certificaten. Deze certificaten worden gebruikt door overheidsorganisaties, maar bijvoorbeeld ook in de zorg en door energiebedrijven en vervoerders, voor website identificatie en het opzetten van een beveiligde TLS verbinding.

Wat is PKIoverheid?

PKIoverheid is de ‘Public Key Infrastructure’ (PKI) van de Nederlandse overheid, dit is een afsprakenstelstel voor het uitgeven en beheren van digitale certificaten. PKIoverheid wordt beheerd door Logius. De PKIoverheid dienstverlening omvat het leveren van digitale certificaten voor verschillende toepassingen, zoals niet-publieke certificaten voor de beveiliging tussen systemen zoals Digipoort, en digitale handtekeningen op smartcards voor het veilig inloggen op systemen en het plaatsen van een elektronische handtekening op documenten. Een andere bekende toepassing zijn de zogenoemde beroepscertificaten; digitale handtekeningen gebruikt door erkende beroepsbeoefenaars zoals accountants, deurwaarders en notarissen.

Daarnaast worden er door browsers vertrouwde SSL certificaten uitgegeven voor de beveiliging van publieke websites, bijvoorbeeld digitale loketten, openbare internetdiensten en webshops. Ook de veelgebruikte website digid.nl maakt gebruikt van dit type certificaat. De certificaten worden niet uitgeven door Logius zelf, maar door PKIoverheid gecertificeerde partijen zoals KPN en Digidentity.

Wat wijzigt er precies en waarom?

De PKIoverheid dienstverlening wordt gecontinueerd, alleen stoppen ze begin december met de uitgifte van de publiek vertrouwde SSL certificaten. Het huidige root certificaat, de ‘Staat der Nederlanden EV Root CA’ verloopt per 8 december 2022, en besloten is om deze niet te vervangen. De uitgevende intermediate certificaten verlopen per 6 december 2022.

Logius geeft meerdere redenen aan om te stoppen met dit onderdeel. Er is ooit gestart met deze dienstverlening om de beveiliging van websites te stimuleren toen deze nog in de kinderschoenen stond. Ondertussen is dit dermate goed opgepakt door diverse marktpartijen dat zij dit met een volledige focus beter en voordeliger kunnen. Dat alleen marktpartijen dit verzorgen is ook gangbaar in alle omringende landen. In 2019 en 2020 waren er bovendien een aantal incidenten op het gebied van de publieke SSL certificaten, waardoor het nodig was deze certificaten te vernieuwen onder een ander root certificaat om de veiligheid te waarborgen. Dit versterkte het uitgangspunt dat het verzorgen van deze dienstverlening inmiddels beter gedaan kan worden door gespecialiseerde marktpartijen.

Wat zijn de alternatieven?

Tot 6 december dit jaar is het nog mogelijk PKIoverheid SSL certificaten aan te vragen met een looptijd van een jaar bij de bekende leveranciers. Na deze datum zal dit niet meer mogelijk zijn, en zul je moeten overstappen naar een ander type certificaat. Logischerwijs vervalt hiermee de verplichting om voor bepaalde toepassingen PKIoverheid certificaten te gebruiken.

Het NCSC (Nationaal Cyber Security Centrum) heeft op verzoek van Logius een advies geschreven over de mogelijkheden na het wegvallen van de publieke PKIoverheid certiificaten. Dit advies beschrijft de benodigde stappen voor de overgang, zoals een methode voor het inventariseren van de te vervangen certificaten binnen een organisatie tot de verschillende altneratieven qua certificaten en de afwegingen bij het selecteren van een nieuwe leverancier.

Maar wat is nu een goed alternatief? Commerciele CA’s geven certificaten uit met verschillende validatieniveaus, waarbij de controles voor uitgifte verschillen.

• Extended Validation (EV) SSL is het hoogste validatieniveau, hiervan zijn de controles en hiermee de betrouwbaarheid vergelijkbaar met PKIoverheid SSL.
• Een vergelijkbare optie is het relatief nieuwe ‘Qualified Website Authentication Certificate’ (QWAC). Deze certificaten worden onder de eIDAS regulering uitgegeven door gekwalificeerde certificaat uitgevers.
• Niet voor alle toepassingen zal het hoogste validatieniveau nodig zijn. Voor niet-publieke verbindingen is bijvoorbeeld Domein Validatie SSL voldoende
• Voor verbindingen die gebruikmaken van OIN ter identificatie, kun je overstappen naar private SSL certificaten die ruimte hebben voor het OIN. Let er dan wel op dat deze certificaten niet publiek vertrouwd worden door browsers.

Xolphin levert Sectigo SSL certificaten op alle validatieniveaus, ook de QWAC. In vergelijking met PKIoverheid SSL hebben Sectigo certificaten bij Xolphin een aantal voordelen: het aanvraagproces is aanzienlijk eenvoudiger en volledig online af te handelen, de levertijd is zeer kort en de prijs is een stuk lager. Het rootcertificaat wordt wereldwijd ondersteund, terwijl de service lokaal en Nederlandstalig is. Voor meer controle over certificaatbeheer zijn er uitgebreide management tools beschikbaar.

Meer weten over de genoemde alternatieven of heb je hulp nodig bij de overgang? Neem dan gerust contact met ons op, we helpen je graag verder.