Veelgestelde vragen SHA256
Algemene vragen
Wat is SHA256?
SHA is een afkorting van: Secure Hash Algorithm. Het doel van dit algoritme is het beveiligen van elektronische handelingen. Het algoritme SHA1 wordt al enige tijd gebruikt. In februari 2005 hebben experts op cryptografisch gebied theoretische zwakheden gevonden in SHA1 die twijfel doen rijzen of dit algoritme nog langer bruikbaar is. Op dit moment is SHA1 nog veilig maar de toekomstbestendigheid staat onder druk. PKIoverheid heeft daarom besloten het advies van de Amerikaanse overheidsorganisatie National Institute for Standards and Technology (NIST) over te nemen en vanaf 1-1-2011 certificaten uit te gaan geven op basis van het verbeterde en meer toekomstbestendige SHA256 algoritme.
Wat is het verschil tussen G2 en SHA256?
G2 refereert aan de tweede generatie van de hiërarchie van de PKI voor de overheid onder de Staat der Nederlanden Root CA - G2. Deze hiërarchie is gebaseerd op het verbeterde en meer toekomstbestendige SHA256 algoritme.
Moet ik nu al maatregelen nemen om met G2-certificaten overweg te kunnen?
Ja. Als u gebruik wilt maken van een website of systeem dat een G2 certificaat van PKIoverheid heeft, dan moet uw software en/of systeem aan de minimale eisen voldoen. Dit geldt ook voor situaties waarbij uw systeem in verbinding staat met een ander systeem (system-to-system communicatie) dat gebruik maakt van een G2 certificaat.
Waar moet mijn computer aan voldoen om gebruik te maken van de nieuwe certificaten?
Zie hiervoor de minimale eisen aan software en besturingssystemen. Om zeker te weten of uw browser ook overweg kan met G2 en SHA256 hebben wij een gedetailleerd overzicht (PDF | 32 kB) opgesteld van ondersteuning door browsers.
Hoe kan ik mijn versie van Microsoft Windows controleren?
Lees op de website van Microsoft de instructie om na te gaan welke versie van Windows op uw computer staat.
Ik heb Windows XP servicepack 2 of lager, kan ik dan nog beveiligde websites bekijken met een vernieuwd PKIoverheid-certificaat?
Nee, u kunt geen beveiligde website bekijken met een vernieuwd PKIoverheid-certificaat. Zorg er voor dat u minimaal servicepack 3 op uw computer heeft geïnstalleerd. U kunt Windows XP servicepack 3 installeren via het Microsoft Download Center. Meer informatie kunt u vinden op de website van Microsoft.
Welke foutmelding krijg ik als applicatie software nog niet is geüpdate?
Dit hangt sterk van de toepassing af. Bij inloggen op een website zal een webbrowser fouten geven omdat het certificaat niet ondersteund en/of vertrouwd wordt.
Welke informatie kan ik naar mijn gebruikers van mijn website communiceren?
Informeer de gebruikers van uw digitale diensten. Webapplicaties die gebruik maken van het beter beveiligde SHA256-certificaat vragen om recente besturingssystemen en internetbrowsers. Voorkom dat bezoekers van uw webapplicatie problemen ondervinden en bijvoorbeeld niet meer kunnen inloggen met DigiD of op Digipoort. Onderstaande tekst kunt u op uw website plaatsen voor uw gebruikers.
Is uw computersysteem geschikt om overheidswebsites te bekijken? |
|---|
Overheidswebsites moeten goed beveiligd zijn. Als u een verouderd computersysteem heeft kunt u deze websites in de toekomst mogelijk niet meer bezoeken. Controleer via een speciale website of uw computersysteem geschikt is om beveiligde overheidswebsites te kunnen bezoeken. |
Beter beveiligde overheidswebsites |
|---|
Overheidswebsites zijn beveiligd met certificaten, zodat de informatie die u bijvoorbeeld stuurt via een formulier niet onderschept en gelezen kan worden door kwaadwillenden. |
Welke informatie heeft Logius aan haar klanten en relaties gecommuniceerd?
Voor de overgang naar de SHA256-technologie moet er bij onze klanten en relaties één en ander gebeuren. Om er voor te zorgen dat de applicaties en systemen van onze klanten en relaties optimaal blijven werken hebben we verschillende communicatiemomenten ingepland.
Algemeen
Medium | Publicatiedatum |
|---|---|
Algemene mailing naar klanten en relaties Informeer uw klanten over SHA256-certificaten | 30 juni 2011 |
Algemene mailing naar klanten en relaties Consequenties van het verbeterde PKIoverheid-certificaat | 22 april 2011 |
Algemene mailing naar klanten en relaties Wijzigingen PKIoverheid-certificaat vanaf 2011 | 9 november 2010 |
12 oktober 2011 | |
Juni 2011 | |
Juni 2011 |
DigiD eenmalig inloggen
Medium | Publicatiedatum |
|---|---|
Specifieke mailing naar klanten DigiD eenmalig inloggen Reminder DigiD eenmalig inloggen | 26 juli 2011 |
Specifieke mailing naar klanten DigiD eenmalig inloggen Reminder: DigiD eenmalig inloggen | 30 mei 2011 |
Specifieke mailing naar klanten DigiD eenmalig inloggen Nieuwe planning certificaatwijziging DigiD eenmalig inloggen | 29 april 2011 |
Specifieke mailing naar klanten DigiD eenmalig inloggen Wijziging aan DigiD eenmalig inloggen | 15 maart 2011 |
Digipoort
Medium | Publicatiedatum |
|---|---|
Specifieke mailing naar klanten Digipoort Certificaatwijziging Digipoort (Koppelvlak FTP) | 6 december 2011 |
Specifieke mailing naar klanten Digipoort (SOAP, WUS, ebMS) Reminder: certificaatwijziging Digipoort | 22 juni 2011 |
Specifieke mailing naar klanten Digipoort (SOAP, WUS, ebMS) Certificaatwijziging Digipoort | 30 mei 2011 |
Technische vragen
Wat zijn de belangrijkste (technische) wijzigingen bij invoering van de G2 hiërarchie?
De G2 hiërarchie introduceert de volgende technische wijzigingen die van toepassing zijn op alle passen en certificaten:
- Gebruik van de nieuwe Staat der Nederlanden Root CA - G2 en CA hiërarchie in productie;
- Gebruik 'SHA256 with RSA Encryption' als ondertekeningalgoritme voor alle certificaten en CRL's;
- Aanpassing (verdubbeling) van de RSA sleutellengte. Voor gebruikerscertificaten van 1024 bits RSA sleutels naar 2048 bits sleutels.
Waar vind ik de nieuwe SHA256 hiërarchie?
Zijn de SHA256 certificaten op alle systemen bruikbaar?
Zie hiervoor de tabel met de minimale eisen aan software en besturingssystemen en het gedetailleerd overzicht (PDF | 32 kB) van ondersteuning door browsers.
Is er SHA256 ondersteuning in Windows Server 2003 en Windows Server 2008?
Windows Server 2003
SHA256 support is niet standaard opgenomen in Windows Server 2003 Service Pack 2. Het vereist de hotfix KB 938397 of 968730. Deze is geen onderdeel van de patches die automatisch via Windows update worden geïnstalleerd, maar is te downloaden via http://support.microsoft.com/kb/938397 en http://support.microsoft.com/kb/968730.
Windows Server 2008
Windows Server 2008 heeft standaard SHA256 support.
Meer weten?
Zie voor een uitgebreide toelichting ook http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx.
Waar kan ik informatie vinden over het aanmaken en installeren van PKIoverheid certificaten op een Microsoft Internet Information Server en op Apache?
Deze informatie kunt u bijvoorbeeld vinden bij de certificatiedienstverlener UZI-register die PKIoverheid-certificaten uitgeeft ten behoeve van de Zorg. De documenten staan op deze webpagina http://www.uziregister.nl/technischesupport/servercertificaten/ onder het kopje "Installatiehandleidingen".
