Certificaat-vervangingsplan, veelgestelde vragen

Het PKIoverheid-certificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Bij alle Logius-diensten heeft u een digitaal certificaat van PKIoverheid nodig. Dit waarborgt de betrouwbaarheid van informatie-uitwisseling via e-mail en websites op basis van Nederlandse wetgeving. Maar niet alleen in e-mails en websites worden certificaten gebruikt, ook in servers, apps of smartcards kunnen certificaten zitten.

Digitale certificaten worden in de praktijk vaak georganiseerd in een Public Key Infrastructure (PKI). Met behulp van een PKI kan een partij de authenticiteit van een aangeboden eindcertificaat controleren. Een PKI bestaat uit een aantal stamcertificaten en afspraken over de manier waarop vertrouwen in uitgegeven eindcertificaten wordt toegekend.

Logius heeft de rol van Policy Authority (PA) van PKIoverheid. Lees meer over deze rol.

Met vragen, meldingen en klachten over een PKIoverheid-certificaat kunt u terecht bij de certificaatverstrekker waar u uw PKIoverheid-certificaten heeft aangeschaft. Voor de duidelijkheid: certificaatverstrekkers worden ook wel TSP’s (Trusted Service Providers) genoemd. Welke certificaatvertrekkers er zijn leest u op deze pagina.

In ieder certificaat staat, onder meer, de naam van de verstrekker (TSP) vermeld. Uw certificaat staat als een bestandje in uw systeem of op uw server. Bespreek met uw technische collega’s of ICT-leverancier waar de certificaten in uw systeem zijn geplaatst. Zo kunt u achterhalen wie uw certificaatverstrekker is.

Donderdag 2 juli werd bij Policy Authority (PA) Logius bekend dat er mondiaal een reeks certificaten wordt gebruikt die niet voldoen aan de afgesproken richtlijnen. In samenwerking met certificaatverstrekkers (TSP’s) en het NCSC is onderzoek uitgevoerd. Op basis daarvan is een actieplan opgesteld voor het vervangen van certificaten, dat actieplan is nu in volle gang.

Om ervoor te zorgen dat niet álle certificaten vervangen hoeven te worden is een vervangingsplan opgesteld. Kort samengevat bestaat het plan uit de onderstaande handelingen. Wilt u de hoofdlijnen liever in een visueel overzicht zien, bekijk dan onze infographic over het vervangingsplan.

1. Certificaatverstrekkers vervangen alle EV-eindcertificaten onder de EV-root door OV-eindcertificaten onder hetzelfde stamcertificaat, de EV-root. Dit is inmiddels uitgevoerd.
2. Certificaatverstrekkers en de certificaathouders vervangen in samenwerking alle OV-eindcertificaten onder de publieke G3-root. Deze vervangen zij, afhankelijk van de situatie:
   a. webverkeer (HTTPS)
   Eindcertificaten die dienen voor het beveiligen van webverkeer worden overgezet naar publieke CA2020 eindcertificaten onder de EV-root.

   b. machine-naar-machineverkeer
   Eindcertificaten die alleen dienen voor machine-naar-machineverkeer worden overgezet naar private eindcertificaten onder de G1-root. Er kan ook worden gekozen om tijdelijk gebruik te maken van publieke CA2020 eindcertificaten onder de EV-root.
    

3. Logius verzoekt vanuit de rol als Policy Authority (PA) de browsers om de G3-Root uit de Browser Trust stores terug te trekken.

In opdracht van toezichthouder Logius zijn certificaatverstrekkers gestart met het intrekken van G3 OV PKIoverheid certificaten. Indien het vervangende certificaat tijdig is geïnstalleerd, heeft dit geen impact op de dienstverlening. Mochten er onverhoopt nadelige gevolgen voor uw dienstverlening zijn, controleer of uw certificaathouder het certificaat correct heeft geïnstalleerd of neem contact op met uw certificaatverstrekker.

Uitgangspunt voor de PKioverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken. Na zorgvuldige afweging van de risico's is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. Daarin staan deze data:

31 januari 2021 - browser trust stores

Na 31 januari wordt de G3-root teruggetrokken uit de browser trust store. De terugtrekking wordt door de grote browserpartijen in de eigen release kalender ingepland, zie het overzicht bij technische vragen. Zorg dat de eventuele aanpassingen aan uw systeem tijdig zijn doorgevoerd. De factsheet die NCSC op 4 september 2020 heeft gepubliceerd, geeft de benodigde informatie voor controle en reparatie.

Uitgangspunt voor de PKioverheid certificaatvervanging is de eis dat certificaatverstrekkers bij het constateren van een incident binnen 7 dagen het certificaat in moeten trekken. Na zorgvuldige afweging van de risico's is in overleg met onder andere het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het NCSC, de CIO/CTO-raad en de certificaatvertrekkers het vervangingsplan tot stand gekomen. Wij houden ons aan dat plan.

Logius gaat niet in op verzoeken voor uitstel of wijziging van de afgesproken deadlines. Certificaathouders zijn zelf verantwoordelijk voor tijdige vervanging van certificaten.

Het PKIoverheid-stamcertificaat wordt ondersteund door de grote browserpartijen. Hieronder vindt u een lijst van softwareleveranciers die PKIoverheid stamcertificaten hebben opgenomen in hun trust store.

Ja dat kan. Lees daarvoor de Factsheet van het NCSC (Dutch) of de Engelstalige versie (English). 

Certificaten die zijn uitgegeven onder een van de onderstaande intermediate certificaten worden ingetrokken.

• Digidentity BV PKIoverheid Organisatie Server CA - G3 (2018)
• Digidentity BV PKIoverheid Organisatie Server CA - G3 (2019)
• KPN BV PKIoverheid Organisatie Server CA - G3 (2016)
• KPN BV PKIoverheid Organisatie Server CA - G3 (2019)
• QuoVadis PKIoverheid Organisatie Server CA - G3 (2016)
• QuoVadis PKIoverheid Organisatie Server CA - G3 (2019)

Wat gebeurt er met de overige certificaten?

Alle overige certificaten onder de G3 worden niet ingetrokken. Bijvoorbeeld certificaten die worden gebruikt voor digitale handtekeningen, beroepscertificaten, de taxibranche, Defensiepas, Uzipas, gekwalificeerde eIDAS zegels, MTM certificaten zoals SBR en eSeals als bedrijfsstempel.

Op 31 januari wordt de G3-root teruggetrokken uit de browser trust store. Zorg dat de eventuele aanpassingen aan uw systeem tijdig zijn doorgevoerd. De factsheet die NCSC op 4 september 2020 heeft gepubliceerd, geeft de benodigde informatie voor controle en reparatie.

Nee, om uitgifte te vereenvoudigen is besloten voor dit specifieke geval hergebruik van csr-bestanden toe te staan.

Met publieke certificaten bedoelen wij certificaten die vertrouwd worden door de browserpartijen. De Root waarop deze certificaten gebaseerd zijn moet opgenomen zijn in de truststores van de browserpartijen.

Met private certificaten bedoelen wij certificaten waarbij de Root niet is opgenomen in de truststores van de browserpartijen.

Machine-naar-machineverkeer (M2M) betreft verkeer tussen besloten systemen. Machine-naar-machineverkeer maakt geen gebruik van webbrowsers.

Publieke certificaten zijn certificaten die zijn opgenomen in de browser trust stores. Opname in die browser trust stores is niet altijd  nodig, bijvoorbeeld bij machine-naar-machineverkeer. Private certificaten vallen dus buiten het beleid van de browserpartijen. Door te kiezen voor private certificaten wordt de externe afhankelijkheid van besloten systemen verminderd.

Bij vervanging heeft het nieuwe certificaat dezelfde vervaldatum als het huidige certificaat dat het vervangt.

Als uw certificaat nog vóór de genoemde deadlines verloopt, en vervangen moet worden, volg dan het reguliere proces voor het aanvragen van een nieuw certificaat.

Een nieuw publiek certificaat heeft een geldigheidsduur van 1 jaar, een nieuw private certificaat een geldigheidsduur van 3 jaar.

Vanuit onze rol als Policy Authoriy van het PKIoverheid-stelsel geeft Logius duidelijk richting. Deze bestaat uit de instructie aan álle organisaties om over te stappen naar private certificaten wanneer publiek vertrouwen niet strikt noodzakelijk is. Dit uitgangspunt is afgestemd en gedeeld met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, NCSC en CIO beraad.

Logius heeft ook een rol als dienstverlener voor de digitale overheid, die voorzieningen levert als DigiD. Vanuit de Logius-voorzieningen gaan we op dit moment geen nieuwe (af)dwingende voorschriften stellen. Waar mogelijk stappen wij over op private certificaten. Dit doen we in afstemming met onze afnemers om de continuïteit van de dienstverleningen zo goed mogelijk te kunnen borgen.

U kun bij het aanvragen van certificaten aangeven dat u een Organisatie-identificatienummers (OIN) opgenomen wilt hebben.

Neem contact op met uw certificaatvertrekker (TSP).

Ja, u kunt de hoofdlijnen bekijken op onze infographic over het vervangingsplan.

Volg onze blog over het vervangingsproces. Daarnaast houden wij deze vragenlijst actueel. Ook zal uw certificaatverstrekker informatie verstrekken.

Elke aangesloten partij moet de ‘private root’ van de nieuwe eindcertificaten opnemen in de lijst van vertrouwde certificaat uitgevers (CA). De nieuwe eindcertificaten worden uitgegeven onder de Private Root (G1) – chain van PKIoverheid.

Als u nog G3-certificaten in gebruik heeft is certificaatvervanging ook aan uw kant nodig. Als afnemer dient u de vervanging zelf te organiseren en hierover contact opnemen met de certificaatverstrekker (TSP). Na ontvangst van een nieuw certificaat dient u de stappen te volgen die bij de betreffende dienst hieronder beschreven staan. Mocht u als afnemer gebruik maken van een leverancier, dan kunt u ook aan die leverancier vragen de certificaatwissel met Logius te regelen.

BSNk gaat per 1 december tijdens een onderhoudsvenster van 0:00 tot 6:00 uur haar PKIoverheid-certificaten op de productieomgeving vervangen omdat de oude certificaten binnenkort verlopen. De nieuwe certificaten zijn te vinden in de netwerkmetadata. Van u worden de onderstaande acties gevraagd:

Stap 1: vertrouw ('trust') de nieuwe certificaten

Onze nieuwe certificaten, uitgegeven door QuoVadis en/of KPN vallen onder de Private Root CA-G1 chain en de EV root chain. Deze chains dienen in uw applicatie getrust te worden.

De hiërarchie van deze chains kunt u terugvinden op http://cert.pkioverheid.nl. Voor uw gemak zijn de links naar deze certificaten ook hieronder terug te vinden. Om het verkeer met de productieomgeving van BSNk goed te laten verlopen dient u daarnaast de in de netwerkmetadata gepubliceerde signingcertificaten op te nemen in de truststores van uw applicatie en, indien van toepassing, gebruik te maken van het nieuwe encryptiecertificaat. Het oude certificaat is vanaf 1 december 2020 niet meer bruikbaar.

Stap 2: zorg dat uw eigen certificaten voldoen

Mogelijk moet u ook uw eigen certificaten vervangen. Controleer dit aan de hand van het vervangingsplan van PKIoverheid-certificaten. Meer informatie over proces van een certificaatwissel vindt u op de wiki van BSNk.

Vragen

Heeft u vragen of opmerkingen? We helpen we u graag via bsnkoppelregister@logius.nl

DigiD vervangt voor het einde van het jaar G3-certificaten in machine-naar-machineverkeer (M2M). Dit betreft uw TLS-client-certificaten en de SAML-signing-certificaten. Van u zijn de twee acties nodig:

Stap 1: vertrouw ('trust') de nieuwe certificaten

Op 9 november is het certificaat voor de SAML-signing vervangen in de preproductie-omgeving van DigiD. Op donderdag 26 november staat ook vervanging in de productie-omgeving vervangen. Voor u is het belangrijk dat u uw aansluitingen goed test, omdat uw SAML-applicatie mogelijk niet automatisch het nieuwe certificaat vertrouwt en daardoor uw aansluiting niet meer werkt.

Om ervoor te zorgen dat uw webdienst na de vervanging blijft werken, is het belangrijk dat u de nieuwe SAML-metadata van DigiD inleest in uw SAML-applicatie. Bij veel SAML-applicaties gebeurt dit automatisch zodra wij in het onderhoudsmoment de SAML-metadata hebben vervangen. Bij sommige SAML-applicaties is het echter nodig dat u de SAML-metadata handmatig inleest via de URL die we hiervoor beschikbaar hebben. Dit dient u dan te doen direct ná het onderhoudsmoment.

Stap 2: Zorg dat uw eigen certificaat voldoet

Ook u moet uw G3-certificaten vóór 31 december 2020 vervangen:

1. Vervang het certificaat eerst op pre-productie (testomgeving) en daarna op productie. Als u nu 1 certificaat gebruikt voor pre-productie en productie, moet u een extra certificaat aanschaffen voor pre-productie. Gebruik voor de pre-productie en de productieomgeving hetzelfde type certificaat; voor beide een G1 certificaat óf voor beide een CA2020 certificaat.
2. Dien via het wijzigingsformulier DigiD een verzoek in voor de planning van uw certificaatvervanging. Dient u vóór 1 december een verzoek in, dan zijn de G3-certificaten zeker voor het einde van het jaar vervangen.
    
3. Wij vervangen in afstemming met u de certificaten eerst in pre-productie.
    
4. Als de certificaten in pre-productie succesvol zijn vervangen, vervangen wij in afstemming met u vervolgens de certificaten in productie.

Let op: De einddatum van uw nieuwe certificaten moet ná 31 januari 2021 liggen, anders worden ze door DigiD niet geaccepteerd. Ligt de einddatum daarvoor? Vraag nieuwe certificaten aan bij uw certificaatverstrekker.

Contact

Om u zo snel mogelijk te helpen, kunt u in het wijzigingsformulier van DigiD uw eventuele vragen opnemen in het opmerkingenveld. Wij nemen dan contact met u op.

Digipoort heeft inmiddels haar PKIoverheid-certificaten voor het TLS-verkeer (webverkeer) vervangen naar certificaten uit de private root (G1). Dit n.a.v. het PKIoverheid certificaat-vervangingsplan.

Wat betekent dit voor u?

Als uw certificaat verloopt/wordt ingetrokken, dan heeft uw certificaatprovider u hiervan op de hoogte gebracht. Dit doen ze via de certificaathouder binnen uw organisatie. Als de certificaathouder bij u onbekend is dan wordt aangeraden dat u met uw certificaatprovider contact opneemt. Zij kunnen u vertellen wie dat binnen uw organisatie is en kunnen u ook vertellen of het certificaat van uw organisatie vervangen moet worden.

Wat moet u doen bij een nieuw ontvangen certificaat?

Dit is afhankelijk van het koppelvlak waarmee u berichten aan overheden aanlevert (FTP of WUS).

1. FTP

Voor het koppelvlak FTP (zie tabel hieronder) moet het nieuwe certificaat bij Logius bekend zijn en door Digipoort “getrust” te worden. Dit houdt in dat u de “publieke deelcertificaten” van uw nieuwe certificaat naar ons toestuurt (dit kan volgens het reguliere proces, via het contactformulier). Wij zorgen ervoor dat de publieke deelcertificaten (in overleg met u) binnen Digipoort worden “getrust”, zodat beveiligd berichtenverkeer mogelijk blijft.

2. WUS

Voor het koppelvlak WUS (zie tabel hieronder welke berichtenstromen dit betreft) hoeft u niets richting Logius te sturen, maar moet u uw nieuwe certificaat binnen uw software plaatsen/ inladen. Als u niet weet hoe dit moet, is het advies om met uw softwareleverancier contact op te nemen. Zij kunnen u hiermee verder helpen.

DigiD Machtigen vervangt het TLS-client certificaat voor machine-naar-machine (M2M) van de pre-productie en productie-omgeving van DigiD Machtigen. Van u worden de volgende handelingen verwacht:

Stap 1: vertrouw ("trust") het nieuwe certificaat

Het is van belang dat uw verbinding met de back-end van DigiD Machtigen, vóór woensdag 18 november, certificaten vertrouwt van de nieuwe root-chain. U moet daarvoor deze root-chain (CA G1) installeren voor de TLS-verbinding met DigiD Machtigen. Afhankelijk van uw configuratie heeft u ons certificaat nodig. Deze kunt u downloaden via de pagina van DigiD Machtigen. (Private CA - M2M certificaten DigiD Machtigen, ZIP 18.78 KB)

Wij willen u er nadrukkelijk op wijzen dat het doorvoeren van de aanpassing uw eigen verantwoordelijkheid is. Als de aanpassing niet wordt doorgevoerd, kan het zijn dat uw verbinding vanaf de certificaat vervanging op dinsdag 24 november niet meer werkt.

*Beide omgevingen zullen vanaf 24 november onder één TLS-client certificaat vallen.

Nadat het certificaat van preproductie op 18 november is vervangen, verwachten we van de afnemers dat er getest wordt of de verbinding werkt en de berichten juist worden afgehandeld. Eventuele bugs kunnen we gedurende deze periode nog opvangen voordat we 24 november op productie overgaan.

Stap 2: Meld vervangen certificaten M2M verbindingen

Als u het TLS-client-certificaat voor uw verbinding met DigiD Machtigen of die van het SAML-signing-certificaat gaat vervangen, moet u dit aanleveren aan het Servicecentrum: servicecentrum@logius.nl. Onder vermelding van “Wijziging certificaat t.b.v. DigiD Machtigen omtrent PKIo-wissel.”

MijnOverheid gaat de G3 PKIoverheid-certificaten vervangen door G1 Private (machine-to-machine) certificaten. Dit betreft de certificaten die u als afnemer gebruikt voor Persoonlijke Gegevens op MijnOverheid. De certificaten op de preproductie-omgeving werden 9 november vervangen, de productie-omgeving certificaten worden 25 november 2020 vervangen. Van u worden de onderstaande acties verwacht:

Stap 1: vertrouw ('trust') de nieuwe certificaten

Het is van belang dat u voor de verbinding met de back-end van MijnOverheid de certificaten vertrouwt van de nieuwe root-chain. U moet daarvoor deze root-chain (CA G1) installeren voor de verbinding met MijnOverheid. Afhankelijk van uw configuratie heeft u ons certificaten nodig. Deze kunt u downloaden via de documentatiepagina (Certificaten PKIoverheid vervangingsplan 2020). Het gaat om de volgende certificaten:

Verbinding via internet

Verbinding via Diginetwerk

Stap 2: Zorg dat uw eigen certificaat voldoet

Mogelijk moet u ook uw eigen certificaten vervangen. Controleer dit aan de hand van het vervangingsplan van PKIoverheid-certificaten. Neem bij vragen contact op met uw certificaatverstrekker.

Vragen

Heeft u nog vragen en/of opmerkingen, dan kunt u op werkdagen van 8.00 tot 17.00 uur telefonisch contact opnemen met ketenbeheer MijnOverheid op het telefoonnummer 06 – 508 401 19 of een e-mail sturen naar ketenbeheerPD@logius.nl.

MijnOverheid gaat het G3 PKIoverheid-certificaat vervangen door Private machine-naar-machine (M2M) certificaten. Dit betreft certificaten die u als afnemer gebruikt voor (EBMS) berichtenverkeer voor Lopende Zaken. De certificaten op de preproductie-omgeving werden 9 november vervangen, die op de productie-omgeving worden op woensdag 25 november vervangen. Van u worden de onderstaande acties gevraagd:

Stap 1: vertrouw ('trust') de nieuwe certificaten

Wij vragen u (samen met uw leverancier) de impact van deze certificaatwissel te bepalen op uw omgeving en de benodigde acties uit te voeren, bijvoorbeeld de certificaten te trusten.Het gaat om de volgende certificaten:

Verbinding via Internet

Verbinding via Diginetwerk

Stap 2: Zorg dat uw eigen certificaat voldoet

Stap 2A: Regel eventueel benodigde certificaatvervanging aan uw kant.

Stap 2B: Er zijn drie mogelijke handelswijzen, afhankelijk van uw situatie:

1. U vraagt een nieuw Collaboration Protocol Agreement (CPA) aan op basis van ons nieuwe certificaat.

2. U maakt gebruik van SSL offloading en u controleert op certificaat niveau. U moet dan ook het publieke deel van het certificaat gebruiken. Certificaten kunt u downloaden via de documentatiepagina.

3. U maakt gebruik van SSL offloading en u vertrouwt op de PKIoverheid hiërarchie. In dit geval moet u controleren of de nieuwe CA-chain aanwezig en correct is. Certificaten kunt u downloaden via de documentatiepagina.

Ongeacht de bovenstaande opties moet u een nieuwe CPA genereren op basis van uw eigen certificaat en het nieuwe certificaat van MijnOverheid.

Vragen

Heeft u nog vragen en/of opmerkingen, dan kunt u op werkdagen van 8.00 tot 17.00 uur telefonisch contact opnemen met ketenbeheer MijnOverheid op het telefoonnummer 06 – 508 401 19 of een e-mail sturen naar ketenbeheerPD@logius.nl

Voor 31 december 2020 moeten alle G3 OV-certificaten vervangen zijn. Maakt uw organisatie gebruik van G3 certificaten voor de communicatie met de MijnOverheid Berichtenbox? Lees deze tekst dan goed, er zijn vanuit uw kant acties nodig om de dienstverlening ook in 2021 te kunnen garanderen.

Stap 1: controleer of u de hiërarchie moet vertrouwen ('trusten')

Het trusten van het Logius G1 certificaat is waarschijnlijk al gebeurd. Mocht u toch een controle willen doen, kijk dan op http://cert.pkioverheid.nl voor de chains. De berichtenbox maakt gebruik van een G1 certificaat van KPN.

Stap 2: zorg dat uw eigen certificaat voldoet

Heeft uw organisatie een eigen aansluiting op de MijnOverheid Berichtenbox of verzorgt u als intermediair de aansluiting voor andere organisaties? Dan moet u een certificaat en CPA wissel uitvoeren via de hieronder beschreven stappen. Als intermediair moet u er ook voor zorgen dat eventuele connecties tussen uw klanten en uw organisatie worden bijgewerkt. Het is uw eigen verantwoordelijkheid om de afstemming hiervoor met uw klanten te verzorgen.

1. Geef uw voorkeur voor wat betreft de datum en het tijdvak waarin u uw CPA-wissel voor MijnOverheid/Berichtenbox uit wilt voeren. Logius stemt de planning af met haar leverancier en stuurt u hiervan een bevestiging. Geef hier uw voorkeur op.
2. Neem contact op met een certificaatverstrekker (bijvoorbeeld Quovadis of KPN) voor het bestellen van een nieuw certificaat. Let op: uw OIN dient voor Logius voorzieningen aanwezig te zijn in het veld SubjectName.
3. Update uw digikoppeling voor uw aansluiting met MijnOverheid/Berichtenbox in het CPA-register. Let op: upload alleen het end-user certificaat, niet de volledige hiërarchie c.q. keten van uw nieuwe certificaat.
4. Genereer een nieuw CPA voor de gewenste omgeving (preproductie / productie) en download dit bestand vanaf het CPA-register.

De daadwerkelijke CPA-wissel zal op de afgestemde datum en tijd worden uitgevoerd en u ontvangt een terugkoppeling met eventuele vervolgacties.

Vragen

Heeft u vragen of opmerkingen? U kunt ons bereiken op werkdagen van 8.00 tot 17.00 uur via telefoonnummer 0900 555 4555 (10 ct/m) of via het contactformulier.