Hoofdinhoud
De wereldwijde geldigheidsduur van publiek vertrouwde TLS-certificaten wordt de komende jaren stapsgewijs verkort. In maart 2029 is de maximale geldigheidsduur van deze certificaten nog 47 dagen. Deze verkorting geldt niet voor PKIoverheid-certificaten.
PKIoverheid-certificaten zijn niet publiek vertrouwd. Zij hebben een ander risicoprofiel en vallen onder een ander beleidskader. Logius verkort de geldigheidsduur van PKIoverheid-certificaten niet; deze blijft maximaal 3 jaar. Eventuele beleidswijzigingen publiceren wij via deze pagina.
Waarom ervaart u soms toch een kortere geldigheidsduur bij de huidige G3- en G1 Private-certificaten?
De PKIoverheid-certificaten ondergaan momenteel een generatiewissel. De overgang naar de nieuwe G4-lijn heeft gevolgen voor de looptijd van certificaten uit de huidige series. Dit staat los van de wereldwijde verkorting van publiek vertrouwde TLS-certificaten (WebPKI) naar 47 dagen:
- De huidige generatie PKIoverheid-certificaten (G3 en G1 Private) verlopen definitief in november 2028. Een certificaat dat u nu nog binnen deze generatie aanvraagt, heeft hierdoor een kortere looptijd. Deze certificaten zijn nooit langer geldig dan de einddatum in november 2028.
- Zodra u overstapt op de nieuwe G4-generatie, kunt u weer certificaten aanvragen met de maximale geldigheidsduur van 3 jaar.
Wat kunt u nu doen om u voor te bereiden op de G4 migratie?
- Stap tijdig over naar G4. Plan de migratie naar de nieuwe generatie ruim voor november 2028. Zo voorkomt u tijdsdruk vlak voor de deadline. Bekijk hiervoor het stappenplan op de [G4-migratiepagina].
- Zet in op automatisering. Automatiseer het beheer en de vernieuwing van certificaten waar mogelijk met ACME. Deze standaard staat op de 'Pas-toe-of-leg-uit'-lijst van het Forum Standaardisatie en verkleint de kans op fouten en operationele verstoringen.
Veelgestelde vragen over de geldigheidsduur certificaten en de G4-migratie
Hoewel PKIoverheid-certificaten langer geldig blijven, wordt automatisering aanbevolen. Hiervoor wordt vaak de techniek ACME gebruikt. Hiermee kunt u certificaten automatisch aanvragen, vernieuwen en uitrollen. ACME staat op de 'Pas-toe-of-leg-uit'-lijst van Forum Standaardisatie met aanbevolen standaarden voor de overheid. Door nu al te automatiseren, verkleint u de kans op menselijke fouten en is uw organisatie beter voorbereid op de toekomst.
Nee, dat hoeft niet direct. Uw huidige G1 Private of G3-certificaten blijven geldig tot hun eigen verloopdatum, of uiterlijk tot november 2028. De overstap naar G4 heeft echter gevolgen voor software, hardware en processen. Door nu al in kaart te brengen wat nodig is, voorkomt u dat uw organisatie later onder hoge tijdsdruk moet overstappen. Controleer daarom tijdig of uw systemen en softwareleveranciers ondersteuning bieden voor de nieuwe G4-certificaten.
PKIoverheid-certificaten hebben een ander gebruiksdoel en risicoprofiel dan de standaard certificaten op het openbare internet. Waar commerciële TLS-certificaten voor iedereen toegankelijk zijn, worden deze PKIoverheid-certificaten (G4) specifiek gebruikt binnen gecontroleerde omgevingen en gesloten ketens tussen organisaties. Omdat de risico’s in deze besloten netwerken anders zijn, is een langere geldigheidsduur in de huidige context passend. PKIoverheid baseert zich hierbij op Europese richtlijnen voor de beveiliging van Public Key Infrastructures (PKI).
De uitzondering geldt alleen voor certificaten die zijn uitgegeven onder de PKIoverheid-hiërarchie. Gebruikt uw organisatie ook reguliere TLS-certificaten voor websites? Dan krijgt u wél te maken met de stapsgewijze verkorting naar 47 dagen en is automatisering noodzakelijk. Controleer bij uw leverancier (TSP) of uw certificaat onder de PKIoverheid-regels valt of een regulier TLS-certificaat is.
U kunt dit eenvoudig controleren in uw browser. Klik op het slotje in de adresbalk en bekijk de details van het certificaat (het 'certificeringspad' of de 'hiërarchie'): PKIoverheid-certificaten zijn te herkennen aan de woorden 'Staat der Nederlanden Root CA' in de algemene naam van het root-certificaat
In theorie kan dit, maar de looptijd is dan beperkt. Een G1 Private of G3-certificaat kan nooit langer geldig zijn dan de einddatum van de bijbehorende rootcertificaat (november 2028). Als u begin 2028 nog een G1 Private of G3-certificaat aanvraagt, is deze dus nog maar enkele maanden geldig. Stap daarom tijdig over op G4 om de volledige looptijd van 3 jaar te kunnen benutten.