Factsheet - DV en OV certificaten bij DigiD

Wat zijn DV en OV certificaten en wat is het verschil?

Er zijn verschillende soorten certificaten die gebruikt kunnen worden voor de beveiliging van TLS-verkeer. De basisvariant is Domain Validation (DV), waarbij alleen het in bezit, of onder controle hebben van het domein aangetoond wordt bij de aanvraag, zonder dat de identiteit van de aanvrager gecontroleerd wordt.

Bij de varianten Organisation Validation (OV), Extended Validation (EV) en Qualified Website Authentication Certificate (QWAC) wordt wel de identiteit van de aanvrager gecontroleerd en deze kennen een oplopend niveau van controle. In deze certificaten staan de velden Organization (O), Locality (L) en Country (C) ingevuld, zodat het voor de bezoeker van een website mogelijk is om na te gaan wie de eigenaar van de website is. Vroeger leidde het gebruik van een EV-certificaat ook nog tot een zogenaamde 'groene balk' in de webbrowser van bezoekers, maar geen van de populaire browsers doet dit nog.

De beveiliging van het TLS-verkeer tussen de webbrowser en webserver is voor de meeste toepassingen voldoende met een DV-certificaat. De meerwaarde van het publieke vertrouwen in een OV-, EV- of QWAC-certificaat is daarmee beperkt en meestal niet nodig voor toepassingen waar een lager niveau ook geaccepteerd wordt.

Wat zijn de minimale vereisten vanuit DigiD voor het gebruik van DV en OV certificaten?

DigiD heeft als inlogdienst voor de BSN-sector specifieke regelgeving voor de betrouwbaarheid van organisaties die aansluiten op DigiD. Hieronder valt ook het gebruik van certificaten. In onderstaande tabel is kort weergegeven wat de vereisten zijn voor certificaten vanuit DigiD. Hierbij wordt onderscheid gemaakt tussen de DigiD webdienst en de DigiD aansluiting.

• De DigiD webdienst is de website waarop gebruikers van DigiD kunnen inloggen.
• De DigiD aansluiting is de back-end verbinding waarmee de inloggegevens tussen DigiD en de afnemer uitgewisseld worden, dit is een zogenaamde machine2machine verbinding.

Onder de tabel worden de afwegingen voor het gebruik van certificaten verder toegelicht.

Let op!: In sommige sectoren is het gebruik van een certificaat met een hoger controleniveau voor bepaalde toepassingen verplicht. Deze verplichting volgt dan uit sectorale wet- en regelgeving.

Welke afwegingen zijn er voor het gebruik van DV certificaten voor een DigiD webdienst?

Een DV certificaat voor een DigiD webdienst wordt door DigiD alleen voldoende betrouwbaar geacht als de website op een .nl domein staat. Dit heeft ermee te maken dat de registratie van een .nl domein onder toezicht staat van SIDN en daarom beter controleerbaar is voor wat betreft de betrouwbaarheid van .nl domeinen. Omdat DV certificaten technisch hetzelfde zijn als andere certificaten, zijn deze voldoende voor de beveiliging van de website én voor de inloggegevens die in de webdienst gebruikt worden.

Toch is er een aantal aanvullende afwegingen waarmee rekening gehouden moet worden als een DV certificaat gebruikt wordt:

• Door het ontbreken van organisatie-informatie in het certificaat, kan het door bezoekers van de website als een minder betrouwbaar certificaat ervaren worden.
• Het gebruik van wildcard certificaten (meestal mogelijk met DV certificaten) brengt bepaalde risico's met zich mee. Het advies is om voor productiewebsites geen wildcard certificaten te gebruiken.
• In sommige sectoren is het gebruik van een certificaat met een hoger controleniveau voor bepaalde toepassingen verplicht of is het gebruik van wildcard certificaten niet toegestaan. Dit volgt dan uit sectorale wet- en regelgeving. Onder andere de Baseline Informatiebeveiliging Overheid (BIO) heeft aanvullende eisen met betrekking tot certificaten.

Welke afwegingen zijn er voor het gebruik van OV certificaten voor een DigiD webdienst?

Een OV certificaat voor een DigiD webdienst wordt door DigiD verplicht als de website op een ander Top-Level-Domain staat dan .nl (bijvoorbeeld .org, .net, .eu). Ook kunnen er andere overwegingen zijn om toch een OV certificaat te gebruiken voor de website en dit is dus te allen tijde toegestaan.

Tot op heden was een PKIoverheid certificaat de vereiste. Omdat PKIoverheid aangekondigd heeft te stoppen met de uitgifte van publiek vertrouwde webbrowser certificaten, moeten alle EV / CA2020 voor 4 december 2022 vervangen worden. Hierbij dient dus een andere leverancier gekozen te worden. In de factsheet van het NCSC zijn hiervoor diverse overwegingen genoemd. Aanvullend daarop heeft DigiD nog de volgende vereisten met betrekking tot de keuze van de certificaatleverancier en het OV certificaat:

• De leverancier van OV certificaten moet in een EU/EER-land gevestigd zijn. Dit heeft te maken met EU wetgeving op het gebied van certificaten en verwerking van persoonsgegevens.
• Overweeg de Trustlist van de EU te gebruiken.

Daarnaast zijn er nog aanvullende afwegingen die vanuit DigiD meegegeven worden bij de keuze van een leverancier van OV certificaten en de aanschaf en uitgifte:

• Voor de herkenbaarheid van de organisatie moeten de velden in het onderwerp (subject) van het certificaat Organization (O), Locality (L) en Country (C) duidelijk verwijzen naar de organisatie. Het OIN-nummer hoeft dus niet in het OV certificaat opgenomen te worden voor een DigiD webdienst.
• Ook de "WHO IS" informatie van het domein, welke publiekelijk te vinden is op internet, draagt bij aan de herkenbaarheid van de organisatie. Het advies is om bij de domeinregistratie de WHO IS informatie zo volledig mogelijk in te vullen en te laten verwijzen naar de organisatie. Ook is het advies géén gebruik te maken van "privacy shield" opties op de WHO IS informatie; transparantie is juist van belang. Tenslotte is het advies om de WHO IS informatie altijd up-to-date te houden.
• In de toekomst zou het mogelijk kunnen zijn dat de browser-community de geldigheidsduur van browsercertificaten verder verkort. Uiteraard zal dan de geldigheidsduur van de OV certificaten hierop moeten worden aangepast.
• Niet alle leveranciers van OV certificaten binnen de EU hebben Nederlandstalige of Engelstalige ondersteuning. Voor een goede leverantie van OV certificaten is het advies om in ieder geval een leverancier te kiezen die ondersteuning biedt in een taal die het proces van aanschaf en uitgifte goed begeleidt.
• Het is van belang dat de certificaatleverancier, ook wel TSP genoemd, of Intermediate CA, in de EU/EER is gevestigd. Meestal is dat te zien aan het certificaat wat direct boven de uitgegeven certificaten ligt, maar dus ónder de root. Het is bij sommige certificaatleveranciers zo dat de root zelf van buiten de EU/EER is, maar dat is voor de betrouwbaarheid van de certificaten niet direct een probleem.

Welke afwegingen zijn er voor het gebruik van PKIo Private Root CA - G1 certificaten voor een DigiD aansluiting?

Het certificaat dat gebruikt wordt voor een DigiD aansluiting moet verplicht een PKIo Private Root CA - G1 certificaat zijn.

Het certificaat in de aansluiting kan op twee verschillende manieren gebruikt worden:

• voor 2-zijdig TLS (op alle koppelvlakken Aselect - CGI, SOAP, WSDL en SAML); Voor meer informatie over het gebruik van certificaten wordt verwezen naar de factsheet 2-zijdig TLS voor CGI koppelvlak.
• voor signing van berichten (SAML). Voor meer informatie over het gebruik van certificaten wordt verwezen naar de factsheet SAML certificaten en metadata.

Voor een PKIo Private Root CA - G1 certificaat zijn er diverse leveranciers. Elke leverancier voldoet aan de vereisten van PKIoverheid. Voor DigiD maakt het niet uit welke certificaatleverancier van deze root gebruikt wordt. De volgende leveranciers zijn op dit moment beschikbaar:

• KPN PKIoverheid Private Services CA - G1 
• QuoVadis PKIoverheid Private Services CA - G1
• UZI-register Private Server CA G1 *
• ZOVAR Private Server CA G1 *
• Digidentity BV PKIoverheid Private Services CA - G1 

Voor meer informatie over de Hiërarchie Staat der Nederlanden Private Root CA -G1 wordt verwezen naar de pagina van PKIoverheid.

* Deze certificaatleveranciers zijn bedoeld voor een specifieke doelgroep in de zorg.