Update uitgifte servercertificaten

19-03-2019

Update dinsdag 19 maart 19:00 uur

Uit eerder onderzoek van Logius is gebleken dat er in Nederland PKIoverheid-certificaten zijn uitgegeven die niet aan de gestelde eisen voldoen. Nader onderzoek heeft uitgewezen dat dit twee Trust Service Providers (TSP’s) treft. Het onderzoek naar het precieze aantal certificaten loopt nog.

Organisaties die in bezit zijn van PKIoverheid-certificaten die niet aan de gestelde eisen voldoen, worden benaderd door hun certificaatverstrekker.

Logius wil benadrukken dat er geen sprake is van een beveiligingsrisico. De kans dat de getroffen certificaten vervalst kunnen worden, is zeer klein. De betrouwbaarheid van deze certificaten en de online diensten die gebruikmaken van deze certificaten is dan ook niet in het geding.


Update vrijdag 15 maart 16.30 uur

Logius onderzoekt op dit moment het aantal PKIoverheid-certificaten dat daadwerkelijk is geraakt. Zodra meer bekend is volgt meer informatie.


Bericht woensdag 13 maart 17.00 uur

Op maandag 11 maart werd bij Logius als Policy Authority (PA) voor PKIoverheid-certificaten bekend dat een reeks uitgegeven servercertificaten wellicht niet voldoet aan de vastgestelde eisen.

Logius heeft als Policy Authority (PA) naar aanleiding van dit inzicht nader onderzoek gedaan en komt tot de conclusie dat deze certificaten inderdaad niet voldoen. In Nederland raakt dit één van de Trust Service Providers (TSP) die PKIoverheid-certificaten heeft uitgegeven. Deze certificaten zijn uitgegeven in de periode van 30 september 2016 tot 5 maart 2019. Logius heeft deze TSP opgedragen de betreffende certificaten in te trekken.

Er is geen sprake van een beveiligingsrisico. De veiligheid van het stelsel blijft gewaarborgd.

Logius vervult de rol van Policy Authority (PA) op het PKIoverheid-stelsel en houdt toezicht op veilig internetverkeer. Vanuit deze rol toetst Logius de bevindingen van onafhankelijke audits op het stelsel en spreekt TSP’s aan wanneer er een incident blijkt.

PKIoverheid-certificaten worden o.a. gebruikt om een webpagina, e-mail of document te beveiligen en vormen hiermee een onmisbare schakel in beveiligd internetverkeer en worden zowel binnen de publieke sector als tussen publieke sector en bedrijfsleven toegepast.

Gerelateerde dienst