PKIoverheid

Gegevens gaan van systeem tot systeem over internet of besloten netwerk waarbij eisen gesteld worden aan de vertrouwelijkheid, integriteit en authenticiteit. Voor het waarborgen van deze eisen is het voor Logius-producten verplicht om gebruik te maken van een certificaat, uitgegeven door PKIoverheid.

Twee Logius collega's naast computer met PKI afbeelding

PKI-certificaat en PKIoverheid-certificaat

Een certificaat is een computerbestand dat fungeert als een digitaal paspoort voor de eigenaar van dat bestand. PKI-certificaten worden herkend in veel standaardtoepassingen, zoals webbrowsers en e-mailpakketten. Met behulp van algemene PKI-certificaten is de informatie die personen en organisaties over het internet sturen, op een hoog niveau beveiligd.

PKIoverheid-certificaten bieden aanvullende zekerheden. Een digitaal certificaat van PKIoverheid (Public Key Infrastructure voor de overheid) waarborgt op basis van Nederlandse wetgeving de betrouwbaarheid van informatie-uitwisseling via e-mail, websites of andere gegevens-uitwisseling.

PKIoverheid-certificaten worden gebruikt bij:

  • het zetten van een rechtsgeldige elektronische handtekening;
  • het beveiligen van websites;
  • het op afstand authenticeren van personen of services;
  • het versleutelen van berichten.

Meer informatie over PKI-certificaten

Sleutelparen

PKI is de infrastructuur voor het gebruik van asymmetrische versleutelingstechnieken. Daarbij wordt gebruik gemaakt van sleutelparen: een privésleutel en een publieke sleutel die wiskundig met elkaar verbonden zijn. De privésleutel moet de rechtmatige houder strikt geheim houden, terwijl de publieke sleutel voor iedereen toegankelijk moet zijn. De toegang tot de privésleutel is dus het bewijs van de identiteit van de persoon. De PKI levert het bewijs dat het certificaat betrouwbaar is uitgegeven.

Certificaten

Een certificaat is een computerbestand met enkele eigenschappen waaronder de gegevens over de eigenaar en de publieke sleutel. Een certificaat is uniek gekoppeld aan een persoon en uitgegeven volgens internationale PKI-standaarden. Een certificaat bevat onder meer de volgende informatie:

  • naam van de eigenaar van het certificaat;
  • naam van de organisatie die wordt vertegenwoordigd door de eigenaar;
  • naam van de uitgever van het certificaat;
  • de periode waarbinnen het certificaat geldig is;
  • het webadres van de lijst met ingetrokken certificaten;
  • de certificaathiërarchie;
  • voor welke doeleinden het certificaat mag worden gebruikt, zoals versleuteling van gegevens, identificatie of het zetten van een elektronische handtekening.

Betrouwbaarheid

De betrouwbaarheid binnen een PKI hangt in sterke mate samen met de betrouwbaarheid van het uitgifteproces van de certificaten. De naam van de eigenaar van het sleutelpaar staat in het certificaat. Het verifiëren van de identiteit van de aanvrager verhoogt de betrouwbaarheid van het certificaat.

Ingetrokken certificaten

Als de eigenaar van een certificaat zelf de toegang tot de privésleutel niet meer vertrouwt, bijvoorbeeld bij inbraak of verlies, dan moet de eigenaar dat melden aan de uitgever. De uitgever houdt een "zwarte lijst" bij van certificaten die niet te vertrouwen zijn. Dit wordt een Certificate Revocation List (CRL) genoemd. Daarnaast is er ook een andere nieuwe methode: OCSP (Online Certificate Status Protocol) waarbij de controle via een (extra) webserver wordt gedaan.

Certificaathiërarchie

Certificaten leunen op het vertrouwen voortkomend uit de hiërarchie waar deze deel van uitmaakt. De hiërarchie bestaat uit het gebruikte certificaat, de certificaten van de uitgever(s) en het stamcertificaat. Al deze certificaten moeten geldig zijn en mogen niet zijn ingetrokken. Op het stamcertificaat na, zijn alle certificaten in de hiërarchie onbetwistbaar gekoppeld aan een hoger liggend certificaat. Dit maakt het mogelijk om een certificaat terug te leiden tot een stamcertificaat, de hoogste in de hiërarchie en daarmee het algemene punt van vertrouwen.

Verificatie

Certificaten worden gebruikt als er een verificatie nodig is. Bijvoorbeeld bij het:

  • bezoeken van een beveiligde website
  • openen van een ondertekend bericht
  • bekijken van vercijferde informatie
  • openen van een ondertekend document

Voor al deze situaties gebruikt de applicatie, zoals bijvoorbeeld de webbrowser, Acrobat Reader of Outlook het certificaat en de hiërarchie waar deze vandaan komt. Dus de applicatie zal automatisch het certificaat controleren en gebruiken.

Als de controle tot een goed resultaat leidt, verschijnen er geen waarschuwingen op het scherm. Als er wel een waarschuwing verschijnt, moet u zelf de ernst van de waarschuwing beoordelen en bepalen hoe verder te gaan.

Standaardcontroles bij verificatie

Bij het verifiëren van een certificaat wordt een aantal standaard controles uitgevoerd. Als een of meer controles falen, volgt er een waarschuwing. Dit is geen foutmelding; de gebruiker kan er voor kiezen om door te gaan. In dat geval is de betrouwbaarheid van de informatie of de afzender echter niet gegarandeerd. De volgende situaties kunnen tot een waarschuwing leiden:

  • Het certificaat behoort tot een onbekende hiërarchie
  • Een certificaat is over zijn geldigheidsduur
  • Het certificaat is ingetrokken
  • De ondertekende tekst is gewijzigd (bij een elektronische handtekening)
  • De naam in het certificaat komt niet overeen met de domeinnaam van de website (bij een SSL-certificaat)

De ernst en impact van de waarschuwing is voor ieder situatie weer anders.

Aanvullende zekerheden PKIoverheid-certificaat

Eén infrastructuur met één niveau van betrouwbaarheid

PKIoverheid kent één infrastructuur met één niveau van betrouwbaarheid. Met één elektronische identiteit van PKIoverheid kunnen eindgebruikers meerdere elektronische diensten van verschillende aanbieders afnemen. PKIoverheid-certificaten zijn voor verschillende toepassingen te gebruiken. Dit in tegenstelling tot aparte PKI's die zijn ingericht op basis van verschillende uitgangspunten en zijn bedoeld voor specifieke toepassingen.

Hiërarchische structuur onder Staat der Nederlanden

PKIoverheid heeft een hiërarchische structuur van certificaten. Het ankerpunt van vertrouwen binnen PKIoverheid, het stamcertificaat Staat der Nederlanden, valt onder verantwoordelijkheid van de Nederlandse overheid. Daarmee is afhankelijkheid van (buitenlandse) commerciële partijen niet aan de orde. Bekijk de certificatenhiërarchie van PKIoverheid.

Gebaseerd op Nederlandse wet- en regelgeving en Europese standaarden

PKIoverheid is gebaseerd op Nederlandse wet- en regelgeving en Europese standaarden. Hiermee is een hoogwaardige en betrouwbare PKI ontstaan, die tevens voldoet aan internationaal geaccepteerde richtlijnen. Alle wettelijke eisen en bijbehorende regelgeving zijn nader uitgewerkt en vastgelegd in het Programma van Eisen van PKIoverheid.

Strenge eisen aan uitgevers van certificaten

De uitgevers van certificaten binnen PKIoverheid kunnen private of publieke partijen zijn, onder voorwaarde dat zij voldoen aan de gestelde eisen. Hiertoe behoren ook de eisen die zijn gesteld aan de dienstverlener die gekwalificeerde certificaten uitgeeft. Dit zijn eisen aan bijvoorbeeld:

  • het identificatieproces dat de certificatiedienstverlener moet uitvoeren bij uitgifte van een certificaat;
  • het bewaren van de gegevens en de bewaartermijnen;
  • de continuïteit van de dienstverlening van de certificatiedienstverlener.

De certificatiedienstverlener is verplicht zich te laten registreren bij de OPTA. Zie de lijst met toegetreden CSP's.

Rechtsgeldige elektronische handtekening

Elektronische handtekeningen kennen verschillende verschijningsvormen, elk met hun eigen waardering. Een handtekening die is geplaatst met een PKIoverheid-certificaat is een elektronische handtekening, gebaseerd op een gekwalificeerd certificaat en heeft dezelfde rechtsgeldigheid als een handgeschreven handtekening.

Lees meer over de wet- en regelgeving omtrent elektronische handtekeningen.

Eenduidige uitgifte van certificaten

Binnen PKIoverheid wordt voor certificaten wel hetzelfde uitgifteproces gehanteerd. Daarmee kennen alle certificaten hetzelfde hoogwaardig niveau.

Toepassingen van PKI-certificaten

Een PKI-certificaat ondersteunt de volgende functies:

1. Authenticatie (ook wel: authenticiteit)

  • Als u een bericht verstuurt, weet de geadresseerde zeker dat ú het bericht heeft gestuurd en niemand anders. De ontvanger kan dat controleren.
  • U wilt toegang tot een afgeschermd deel van een website. Dat kan alleen als u zich elektronisch aanmeldt. Pas als u met zekerheid bent herkend, krijgt u toegang tot dat deel van de website.Machtigingsmiddel voor digitale dienstverlening van overheden aan burgers;

Wat is authenticeren?

Authenticeren is het controleren van een identiteit. Stel dat een bezoeker toegang wil tot een (web)applicatie. De bezoeker moet zich dan eerst bekendmaken. De bezoeker biedt zijn identificerende gegevens aan. Na verificatie van deze gegevens is met een redelijke zekerheid vastgesteld wie de bezoeker is en kan de bezoeker toegang krijgen tot de applicatie.

Bezoekers die beschikken over een PKI-certificaat kunnen dit gebruiken om hun identificerende gegevens aan te bieden. En leveren daarmee een overheidslegitimatie die overeenkomt met een paspoort of rijbewijs.

Het authenticeren van gebruikers voor overheidsorganisaties kan ook via DigiD. DigiD kent drie niveaus waarop gebruikers worden geauthenticeerd. Het gebruik van een PKIoverheid-certificaat is daarbij het hoogste niveau van betrouwbaarheid. Deze authenticatie dekt ook lagere niveaus van betrouwbaarheid af.

Wat zijn de extra's van authenticatie op basis van PKI?

Een PKIoverheid-certificaat is onder strikte voorwaarden uitgegeven aan de gebruiker, dus inclusief het vaststellen van de identiteit. Dat certificaat bevindt zich op een smartcard of USB-stick. Bij het inloggen beschikt de gebruiker over iets wat hij heeft (persoonlijke smartcard / USB-stick) en wat hij weet (de pincode). Daarmee voldoet het aan de eisen van sterke authenticatie.

Hoe kan de organisatie zich voorbereiden?

De organisatie stelt vast voor welke applicaties een strengere vorm van authenticatie noodzakelijk is. Het niveau van betrouwbaarheid is afhankelijk van de betrouwbaarheidseisen (uit oogpunt van informatiebeveiliging) die voor deze applicaties gelden. Meer informatie over passende betrouwbaarheidsniveaus vindt u in de Handreiking voor overheidsorganisaties over betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten.

Als de data aangeboden via de applicatie gevoelig of vertrouwelijk is, dan is authenticatie met een hoog niveau van betrouwbaarheid noodzakelijk. Het gebruik van een hoogwaardig certificaat is dan verplicht. De organisatie moet zich bewust zijn van de verplichting die dit aan de gebruikers oplegt. De gebruiker moet dan beschikken over een certificaat. Goede voorlichting aan de gebruikers is daarbij noodzakelijk.

2. Elektronische handtekening

Naast authenticatie bestaat soms de noodzaak van onweerlegbaarheid. Een formeel stuk of acte moet worden getekend, zoals je dat op papier met een handtekening doet. Een handtekening op een elektronisch document of een e-mail is een digitale handtekening die een certificaat gebruikt dat daarvoor uitgegeven is. De lezer van het document of de e-mail kan de handtekening controleren via de applicatie die het opgegeven certificaat daarvoor gebruikt.

Elektronische handtekening

Binnen een overheidsorganisatie is het gebruikelijk interne nota's te paraferen, te medeparaferen en te ondertekenen. Wanneer het interne verkeer geheel elektronisch verloopt, ligt het voor de hand om de elektronische tegenhanger van paraaf en handtekening in te voeren. Voor gebruik en beheer van elektronische documenten komen steeds meer document managementsystemen op de markt. Een intern elektronisch document gaat geen eigen leven leiden en is uitsluitend via dat systeem beschikbaar. Het accorderen van een document kan binnen dat systeem worden georganiseerd.

Documenten die in elektronische vorm de organisatie verlaten (of worden gepubliceerd) staan op zichzelf. Deze documenten moeten authentiek zijn en de status en herkomst van deze documenten moet te herleiden zijn. Met het plaatsen van een elektronische handtekening is de authenticiteit gewaarborgd en is te herleiden wie een akkoord op het document heeft gegeven.

Ondertekenen of waarmerken van documenten

In technische zin is ondertekenen of waarmerken identiek. Een persoon of een organisatie kan de technische handeling uitvoeren. Er zit echter een wereld van verschil in de inrichting en gevolgen van ondertekenen dan wel waarmerken.

Als een document is ondertekend door een persoon, dan wil dat zeggen dat die persoon akkoord is met de inhoud van het document. Een elektronisch document is dan voorzien van een persoonsgebonden handtekening. Daarbij is tevens de authenticiteit van het document gewaarborgd. Als bij ondertekenen een gekwalificeerd certificaat is gebruikt, dan heeft de elektronische handtekening dezelfde rechtsgevolgen als een handgeschreven handtekening.

Als een document is gewaarmerkt, dan is aangegeven dat de inhoud van het document correct is. Een persoon of functionaris is dan niet verantwoordelijk voor de inhoud. Het is een verklaring van de organisatie dat het document authentiek en van die organisatie afkomstig is . Het elektronisch document bevat dan een organisatiegebonden handtekening.

Waarom een document ondertekenen of waarmerken?

De lezer van een elektronisch document wil weten wat de status van een document is. Wie is verantwoordelijk voor de inhoud? En is het document wel authentiek?

  • Een organisatie die een elektronisch document ondertekent of waarmerkt geeft aan dat het document een zekere status heeft. De lezer kan met zekerheid vaststellen dat het document van die organisatie afkomstig is.
  • Een ondertekend of gewaarmerkt document is beschermd tegen wijzigingen. Het document is daarmee authentiek. Bij het openen van een gemanipuleerd document krijgt de lezer onmiddellijk een melding dat het document is gewijzigd.

Hoe kan een organisatie zich voorbereiden op ondertekening of waarmerken?

Een organisatie bepaalt of het ondertekenen of waarmerken van uitgaande of te publiceren documenten relevant is. De processen waarbinnen dit soort documenten ontstaan, moeten op elektronisch ondertekenen of waarmerken worden ingericht.

  • Voor het waarmerken van documenten zal een organisatiegebonden certificaat beschikbaar moeten zijn.
  • Personen die uit hoofde van hun functie documenten ondertekenen moeten over een op naam gesteld certificaat beschikken.

3. Versleuteling

U wilt een bericht versleutelen waardoor de inhoud van het bericht onleesbaar wordt voor derden. U kunt vooraf bepalen wie die versleutelde informatie kan ontcijferen en vervolgens kan lezen.

Versleutelen

Certificaten voor vertrouwelijkheid zijn met name bedoeld om informatie of documenten tijdens het transport (over het onbetrouwbare internet) te beveiligen tegen ongeoorloofde inzage. De verzender versleutelt, de ontvanger ontsleutelt.

Bij het bezoeken van een beveiligde website wordt een 'beveiligde verbinding' tot stand gebracht tussen de pc van de bezoeker en de website. De informatie die tussen de bezoeker en de website heen en weer gaat, is dan niet te lezen door anderen. De beheerder van de website gebruikt hiervoor een certificaat voor netwerkvertrouwelijkheid, ofwel een SSL-certificaat.

Identiteit van de website vaststellen

Een SSL-certificaat op een beveiligde website is een extra voorziening waarmee de bezoeker van de website met zekerheid de identiteit van de website kan vaststellen. In het certificaat staat de naam van de organisatie die eigenaar is van de website.

Het gebruik van SSL-certificaten is de standaard voor de communicatiebeveiliging binnen de Nederlandse overheid. Het gebruik van SSL-certificaten is in ieder geval nodig als twee servers automatisch onderling betrouwbaar informatie uitwisselen.

Wat zijn de voordelen van een beveiligde website?

Het beveiligd zijn van een website is belangrijk bij het invullen van formulieren. De aanbieder van het formulier geeft daarmee aan dat de informatie tussen bezoeker en website vertrouwelijk blijft.

Op een beveiligde website kunnen ook pagina's met algemene informatie staan. De organisatie achter de website geeft daarmee aan dat zij belang hecht aan de juistheid van haar informatie. De bezoeker weet met zekerheid dat de gepresenteerde informatie van die organisatie is en niet is aangepast over het internet.

Webzegel

Websites met een PKIoverheid SSL-certificaat kunnen zijn voorzien van het webzegel PKIoverheid. Dit webzegel is een extra service voor de bezoeker. Met het webzegel is meteen te zien dat het om een PKIoverheid SSL-certificaat gaat. Bovendien is het voor de bezoeker heel eenvoudig om daarmee de naam van de organisatie achter de website te achterhalen.

Wanneer heeft een organisatie SSL certificaten nodig?

Een organisatie bepaalt in welke gevallen een beveiligde website een rol speelt.

Kunnen bezoekers een formulier invullen en daarmee informatie doorgeven aan de organisatie? Vaak zal de invuller zijn naam en adres in moeten vullen. Uit oogpunt van privacy is het goed om dan een beveiligde website in te richten, ook al lijkt de informatie vrij algemeen.

Kunnen de bezoekers van de website een webapplicatie benaderen? Dan moet het voor de bezoeker duidelijk zijn dat de informatie die via deze webapplicatie wordt doorgegeven naar de juiste organisatie gaat. Hoe erg is het als de gegevens van de bezoekers op een andere website worden ingevuld?

Bij het publiceren van informatie kan het nodig zijn de lezers te informeren over de herkomst van die informatie. Dat geldt vooral voor informatie waarop een bezoeker moet kunnen vertrouwen.

Betrouwbaar communiceren over internet is alleen mogelijk met extra zekerheden, zoals het kunnen controleren of de informatie van een betrouwbare bron komt. Met PKI komt er een relatie tot stand tussen u en een door u uitgevoerde handeling. U maakt dan gebruik van een elektronisch certificaat. Het certificaat is het bewijsstuk dat alleen u die handeling heeft kunnen uitvoeren.

PKI is onderdeel van veel standaardtoepassingen, zoals webbrowsers en e-mailpakketten. U kunt deze toepassingen gebruiken, maar u moet PKI, of beter die betrouwbare communicatie, wel kunnen herkennen en u moet weten wat u daarmee doet.

Aanschaffen PKIoverheid-certificaat

U kunt een PKIoverheid-certificaat aanschaffen bij een certificatiedienstverlener, ofwel een Certificate Service Provider (CSP). Een beperkt aantal partijen mag deze certificaten leveren. Lees ook de tips voor het aanschaffen van een PKIoverheid-certificaat.

Leveranciers certificaten

Er zijn vier commerciële certificatiedienstverleners (CSP's) van PKIoverheid-certificaten. Het aanvragen verloopt via één van deze leveranciers.

Stappen voor aanvragen

Als u voor het eerst een certificaat wilt aanvragen bij één van de bovenstaande certificatiedienstverleners, doorloopt u globaal drie stappen (zie onderaan deze pagina voor specifieke procedures per CSP):

Stappen voor aanvragen

1. Registreer uw organisatie bij uw CSP als abonnee.

  • Lever bewijs dat uw organisatie een (overheids)organisatie is, zoals een wet, oprichtingsakte, organisatiebesluit of een uittreksel uit het Handelsregister.
  • Lever als overheidsorganisatie, indien van toepassing, uw OIN; Lijst met OIN (PDF | 97 kB).
  • Lever bewijs van bevoegdheid (benoemings-, aanstellings-, of mandaat- en volmachtbesluit) van de vertegenwoordiger (bijvoorbeeld een minister, burgemeester of directeur);
  • Lever een kopie van een geldig identificatiebewijs van uw bevoegd vertegenwoordiger.

2. Wijs certificaatbeheerder(s) aan als eerste aanspreekpunt voor uw organisatie bij de CSP.

  • Deze certificaatbeheerder kan namens uw organisatie certificaten aanvragen en intrekken.

3. U vraagt een nieuw certificaat aan door middel van een aanvraagformulier via uw certificatiedienstverlener.

Het aanvraagproces van een certificaat valt uiteen in verschillende onderdelen:

  • Abonneeregistratie: uw organisatie moet bij de CSP zijn geregistreerd voordat u certificaten kunt aanschaffen. Dit registreren vraagt de nodige voorbereiding van uw kant.
  • Bij het registreren moet u een certificaatbeheerder aanwijzen die namens uw organisatie het aanvragen van certificaten kan afhandelen.
  • U kunt persoonsgeboden certificaten voor uw medewerkers aanschaffen.
  • U kunt certificaten voor uw services aanschaffen.
  • Doorlooptijden bij het registreren en het aanschaffen kunnen verschillen.

De handelwijze bij het aanschaffen van certificaten kan per certificatiedienst-verlener enigszins verschillen.

Handige tips

  • U kunt de gegevens opgeven van één of meerdere personen die u als contactpersoon van uw organisatie wilt autoriseren om namens uw organisatie certificaten aan te vragen en in te trekken, alsmede om andere contactpersonen en certificaatbeheerders te autoriseren. Zorg dat u deze personen paraat heeft staan (ook buiten kantoortijden). Dit is namelijk een veelvoorkomende bottleneck.
  • U kunt zogeheten 'certificate signing requests' (CSR) laten opmaken. Het is van belang dat daarin de volgende informatie staat:
    • de naam van de organisatie (O), bijvoorbeeld UwOrganisatienaam,
    • de naam van de server (CN), bijvoorbeeld www.domeinnaam.nl,
    • de sleutellengte (is standaard 2048 bit RSA).

Zie het tabblad Vragen voor meer informatie en tips.

Wat zijn de kosten voor het aanschaffen van een PKIoverheid-certificaat?

Voor een indicatie van de kosten kunt u terecht bij een van de certificatiedienstverleners (CSP's) van PKIoverheid.

Waar kunt u terecht voor ondersteuning?

U kunt met vragen, meldingen en klachten terecht bij de certificatiedienstverlener waar u uw PKIoverheid-certificaten heeft aangeschaft.

Wat is de rol van Logius?

Logius heeft de rol van policy authority (PA) van PKIoverheid.

De taken van Logius zijn:

  • het leveren van bijdragen voor de ontwikkeling en het beheer van het normenkader dat aan de PKI voor de overheid ten grondslag ligt, het zogeheten Programma van Eisen (PvE)
  • het proces van toetreding door Certification Service Providers (CSP's) tot de PKI voor de overheid begeleiden en voorbereiden van de afhandeling
  • het toezicht houden op en controleren van de werkzaamheden van CSP's die onder de root van de PKI voor de overheid certificaten uitgeven

Veelgestelde vragen over PKIoverheid-certificaten

Hoe verloopt de abonneeregistratie?

Bij de eerste aanvraag moet een verklaring worden aangeleverd die is getekend door een wettelijk vertegenwoordiger van uw organisatie. Aantonen dat iemand wettelijk vertegenwoordiger is kan met een recent uittreksel van de Kamer van Koophandel of in het geval van een overheidsorganisaties door het mandaat- en volmachtbesluit te overleggen.

Het overleggen van zo'n verklaring door de wettelijk vertegenwoordiger is nodig om het hoge niveau van betrouwbaarheid van een PKIoverheid-certificaat te kunnen garanderen. Het is geborgd dat onbevoegden niet op naam van uw organisatie PKIoverheid-certificaten kunnen aanvragen.

U doet er goed aan de bevoegd vertegenwoordiger direct een machtiging te laten tekenen waarin een certificaatbeheerder wordt gemachtigd om voortaan uw organisatie te vertegenwoordigen voor het aanvragen en beheren van certificaten. Bij voorkeur is deze machtiging overdraagbaar, zodat deze niet steeds opnieuw hoeft te worden afgegeven.

De CSP zal ook vragen de juiste schrijfwijze van de organisatienaam aan te tonen. Het bewijs kan de organisatie leveren door een recent document te overleggen, zoals een uittreksel van de Kamer van Koophandel, een oprichtingsakte, een uitdraai van de contactgegevens van de website of origineel briefpapier met naam en adresgegevens. Die organisatienaam zal in alle certificaten van uw organisatie zijn opgenomen.

Wanneer er onduidelijkheid ontstaat over wie een bevoegd vertegenwoordiger is van de organisatie of welk bewijs moet worden geleverd voor machtiging, dan is het aan te bevelen de bedrijfsjurist van uw organisatie contact te laten opnemen met een jurist bij de CSP. Deze zullen over het algemeen onderling snel tot overeenstemming kunnen komen over de benodigde documentatie.

Wat zijn de taken van een certificaatbeheerder?

De certificaatbeheerder is het eerste aanspreekpunt voor de CSP binnen een organisatie. Deze beheerder zal een face-to-face controle moeten ondergaan (met check van een wettelijk identiteitsbewijs) voordat het eerste certificaat kan worden geleverd.

De certificaatbeheerder vraagt de certificaten aan voor uw organisatie en meldt eventuele intrekkingen van certificaten. De CSP informeert de certificaatbeheerder over het verlopen van uitgegeven certificaten.

Als uw organisatie verwacht in de loop der tijd meerdere servicescertificaten aan te gaan vragen, dan kan worden overwogen eenmalig te investeren in een persoonsgebonden PKIoverheid-certificaat (op smartcard) inclusief een paslezer. Dit PKIoverheid-certificaat staat op naam van de beheerder. Hiermee kan de beheerder vervolgens online certificaataanvragen ondertekenen. Bij uitgifte is geen face-to-face controle meer nodig om de identiteit van de beheerder vast te stellen.

Wat zijn servicescertificaten?

De certificaten voor services of servers zijn organisatiegebonden certificaten. In zo'n certificaat is de naam van uw organisatie vermeld en de naam van uw webdienst of het internetadres van uw webserver. Een SSL-certificaat is een voorbeeld van een servercertificaat.

Het internetadres van een website of webserver is geregistreerd (controleerbaar via www.sidn.nl). In die registratie is ook vermeld wie de eigenaar is van de domeinnaam. Als uw organisatie niet de eigenaar van de naam is, moet die eigenaar toestemming geven voor het gebruik van een servercertificaat.

Het aanvragen van een certificaat voor een service of server verloopt eveneens via de certificaatbeheerder.

Wat zijn de doorlooptijden voor het aanvragen van een certificaat?

Het aanschaffen van certificaten vraagt de nodige tijd en voorbereiding. Het meest tijdrovende onderdeel is de eenmalige registratie van uw organisatie als abonnee. U moet zelf de juiste documenten verzamelen en aanleveren aan de CSP. Ervaring leert dat het juist aanleveren van de gegevens op papier soms wel een tot drie weken in beslag kan nemen. Het is daarbij belangrijk dat u goede afspraken met de CSP maakt over het terugmelden. Zo wilt u bijtijds een waarschuwing ontvangen als de documentatie niet compleet is.

Als de abonneeregistratie is afgerond en de certificaatbeheerder is aangewezen, dan volgt de uitgifte van de certificaten. U moet daarbij rekening houden met een doorlooptijd van ongeveer een week tussen de face-to-face controle en de levering van het certificaat.

Contact over PKIoverheid

Voor vragen, meldingen of klachten over het PKIoverheid-certificaat kunt u terecht bij uw certificatiedienstverleners (CSP).

Naam CSP

Domein

Datum toetreding

Bijzonderheden

KPN

Overheid & Bedrijven

6 oktober 2003

Persoonsgebonden certificaten en services certificaten

CIBG

Overheid & Bedrijven

22 december 2004

Persoonsgebonden certificaten en services certificaten voor de Zorgsector

ESG De electronische signatuur BV

Organisatie & Burger

23 augustus 2006

Persoonsgebonden certificaten en services certificaten

Ministerie van Defensie

Overheid & Bedrijven

22 april 2008

Persoonsgebonden certificaten voor de Defensiesector

Quo Vadis Trustlink BV

Organisatie

14 juli 2009

Persoonsgebonden certificaten en services certificaten

Digidentity BV

Organisatie & Burger

13 april 2011

Persoonsgebonden certificaten en services certificaten

Bekijk een overzicht van de CSP-certificaten van deze certificatiedienstverleners.

Naar boven