Vervanging certificaten

Certificaatwissel Digipoort en upgrade naar TLS 1.2

In het voorjaar van 2017 moeten allerlei PKI-certificaten worden vervangen op de Digipoort Procesinfrastructuur. Tegelijkertijd wordt het minimale niveau van beveiliging van de verbinding (op basis van TLS) opgewaardeerd naar TLS 1.2. voor die koppelvlakken die nu in scope van de certificaatvervanging zijn. 

KoppelvlakCertificatenwisselTLS 1.0/1.1In scope huidig plan
WUSJaJaJa
ebMSJaJaJa
GB 3.0Nee (alleen certificaten DGP-PrePod en de aansluitsuite)Later te bepalenBeperkt (alleen certificaten DGP-PreProd en de aansluitsuite)
FTPs 1.61Nee (alleen certificaten DGP-PrePod en de aansluitsuite)Later te bepalenBeperkt (alleen certificaten DGP-PreProd en de aansluitsuite)
SMTP-MTA/SMTP-MSA/POP3NeeLater te bepalenNee
SOAP-2007JaJaJa

Om gebruikers de gelegenheid te geven op een zelf te kiezen moment te migreren is er voorafgaand aan het verlopen van de certificaten een nieuw endpoint geïntroduceerd waarvan met ingang van 7 december 2016 gebruik kan worden gemaakt.

Het oude eindpoint van Digipoort zal in een big bang scenario in april 2017 worden aangepast voor zowel het certificaat als TLS 1.2. Beide endpoints blijven na deze periode beschikbaar.

Gebruikt u dgp.procesinfrastructuur.nl? Dan moet u actie ondernemen.

Het endpont dgp.procesinfrastructuur.nl wordt in het onderhoudswindow van april 2017 aangepast.

Wat moet u doen?

  • Ga over op het nieuwe endpoint dgp2.procesinfrastructuur.nl indien u niet wilt wachten tot de big bang in april 2017.
  • Gebruik de nieuwe certificaten en controleer de juiste TLS versie. Deze zijn vanaf 7 december 2016 beschikbaar.
  • Doe dit op tijd, zodat u (c.q. uw klanten) berichten kunt blijven insturen / ontvangen. Dit is het voorkeursscenario.

Indien u wel wilt wachten op de big bang in april 2017:

  • Controleer of uw applicatie op de juiste manier connectie maakt met Digipoort via de URL dgp.procesinfrastructuur.nl (TLS versie). Controleer dat de juiste connectie wordt gemaakt voor alle berichtstromen.
  • Zorg dat het nieuwe certificaat voor dgp.procesinfrastuctuur.nl wordt verkregen. Deze wordt medio maart 2017 beschikbaar gesteld.
  • Pas indien nodig uw software aan.
  • Doe dit op tijd, zodat u (c.q. uw klanten) berichten kunt blijven insturen / ontvangen. Neem indien nodig contact op met de leverancier van uw software.

Maakt u gebruik van dgp2.procesinfrastructuur.nl?

Dan gebruikt u de juiste (nieuwe) domeinnamen en IP-adressen van Digipoort en de juiste certificaten. U hoeft dan geen actie te ondernemen.

Aansluiting Digipoort via internet

Preproductie

Het volgende endpoint komt er extra bij:

Nieuwe endpoints (vanaf 7-12-2016)Certificaat
preprod-dgp2.procesinfrastructuur.nlpreprod-dgp2.procesinfrastructuur.nl (cer | 8 kB)

U dient zo spoedig mogelijk vanaf 7 december 2016, maar uiterlijk per het onderhoudswindow van april 2017 de nieuwe endpoints voor de preproductie in gebruik te nemen.

Let op:

  • Dit nieuwe endpoint gebruikt alleen TLS 1.2.
  • De certificaten van de nieuwe endpoints zijn door een andere certificaatdienstverlener uitgegeven. Het kan zijn dat met het accepteren van de nieuwe certificaten, tevens de gehele PKI-certificaathiërarchie meegenomen moet worden (zie hieronder bij Certificaathiërarchie).

Mocht u gebruik maken van het big bang scenario en op het oude endpoint blijven, dan dient onderstaand certificaat te worden gebruikt:

Oude endpoint (vanaf medio april 2017)Certificaat
preprod-dgp.procesinfrastructuur.nlpreprod-dgp_procesinfrastructuur_nl (crt | 9 kB)

Let er op dat u ook goed controleert op het juiste gebruik van TLS 1.2

Productie

Het volgende endpoint komt er extra bij:

Nieuwe endpoints Certificaat
Dgp2.procesinfrastructuur.nl Dgp2.procesinfrastructuur.nl (cer | 8 kB)

U dient zo spoedig mogelijk vanaf 7 december 2016, maar uiterlijk per het onderhoudswindow van april 2017 de nieuwe endpoints voor de productie in gebruik te nemen.

Let op:

  • Dit nieuwe endpoint gebruikt alleen TLS 1.2.
  • De certificaten van de nieuwe endpoints zijn door een andere  certificaatdienstverlener uitgegeven. Het kan zijn dat met het accepteren van de nieuwe certificaten, tevens de gehele PKI-certificaathiërarchie meegenomen moet worden (zie bij Certificaathiërarchie).

Mocht u gebruik maken van het big bang scenario en op het oude endpoint blijven, dan dient onderstaand certificaat te worden gebruikt:

Oude endpoint (vanaf 19-4-2017)Certificaat
dgp.procesinfrastructuur.nldgp_procesinfrastructuur_nl (crt | 9 kB)

Let er op dat u ook goed controleert op het juiste gebruik van TLS 1.2.

Naar boven

Certificaathiërarchie

Certificaten maken onderdeel uit van de certificaathiërarchie (van PKIoverheid). Omdat het oude Digipoort endpoint certificaat is uitgegeven door een andere certificaatleverancier dan de certificaten behorende bij de nieuwe endpoints, kan het noodzakelijk zijn om de gehele certificaathiërarchie te laden behorende bij het nieuwe certificaat. De eventueel ontbrekende onderdelen kunnen hier worden gevonden.

Upgrade naar TLS 1.2, aansluiting Digipoort via Internet

Met de introductie van het nieuwe endpoint wordt alleen nog TLS 1.2 als minimaal niveau voor de verbinding geaccepteerd. TLS 1.0 en TLS 1.1 worden vanaf dat moment niet meer geaccepteerd. U moet dus controleren dat u de verbinding met Digipoort op het juiste niveau initieert.

Het oude endpoint wordt per april 2017 opgewaardeerd en accepteert vanaf dat moment ook alleen nog maar TLS 1.2. Tot die tijd accepteert het endpoint ook nog TLS 1.0 en TLS 1.1.

Bij het TLS protocol behoort het gebruik van specifieke cipher-suites. In eerste instantie zal Digipoort alleen de onderstaande cipher-suites accepteren. In een later stadium zal de lijst worden uitgebreid met meer cipher-suites (ECDH).

U dient meerdere van de door Digipoort ondersteunde ciphersuites te accepteren (minimaal 2).

De volgende cipher-suites worden ondersteund:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Afleveren vanuit Digipoort

Omdat ook voor het afleveren van berichten er certificaten verlopen en TLS 1.0 en 1.1 moet worden uitgefaseerd, komen in een aantal gevallen ook endpoints voor het afleveren van berichten bij. Het betreft de endpoints:

  • Ebms.procesinfrastructuur.nl
  • Ebms-internet.procesinfrastructuur.nl
  • Wus.procesinfrastructuur.nl (Wus via internet verloopt niet via een apart endpoint maar via dgp.procesinfrastructuur.nl)

De volgende endpoints komen er extra bij:

Preproductie

Nieuwe endpoints  Certificaten
Preprod-Ebms2-procesinfrastructuur.nl (145.21.178.115)preprod-ebms2 (zip | 2kb)
Preprod-Ebms-internet2-procesinfrastructuur.nl (144.43.253.6)preprod-ebms-internet2 (zip | 2kb)
Preprod-Wus2.procesinfrastructuur.nl preprod-wus2 (zip | 2kb)

Mocht u gebruik maken van het big bang scenario en op het oude endpoint blijven, dan dient onderstaand certificaat te worden gebruikt:

Oude endpoint (vanaf 19-4-2017) Certificaat
Preprod-Ebms-procesinfrastructuur.nl 

preprod-ebms.procesinfrastructuur.nl pem | 2 kB

Preprod-Ebms-internet-procesinfrastructuur.nl preprod-ebms-internet-dgp.procesinfrastructuur.nl pem | 2kB
Preprod-Wus.procesinfrastructuur.nl 

preprod-wus.procesinfrastructuur.nl pem | 2kB

Productie

Nieuwe endpoints  Certificaten
Ebms2.procesinfrastructuur.nl (ip 145.21.178.104) ebms2_procesinfrastructuur_nl (zip | 7kb)
Ebms-internet2.procesinfrastructuur.nl (ip 144.43.253.25)ebms-internet2_procesinfrastructuur_nl (zip | 7kb)
Wus2.procesinfrastructuur.nl wus2_procesinfrastructuur_nl (zip | 7kb)

U dient zo spoedig mogelijk vanaf januari 2017, maar uiterlijk per het onderhoudswindow van 19 april 2017 de nieuwe endpoints voor de productie in gebruik te nemen.

Het kan zijn dat de certificaten van de nieuwe endpoints door een andere  certificaatdienstverlener zijn uitgegeven. Voor de zekerheid dient met het accepteren van de nieuwe certificaten, tevens de gehele PKI-certificaathiërarchie meegenomen moet worden (zie bij Certificaathiërarchie).

  • Let er op dat u ook goed controleert op het juiste gebruik van TLS 1.2.

Mocht u gebruik maken van het big bang scenario en op het oude endpoint blijven, dan dient onderstaand certificaat te worden gebruikt:

Oude endpoint (vanaf 19-4-2017)Certificaat
Ebms.procesinfrastructuur.nl 

ebms.procesinfrastructuur.nl pem | 2kB

Wus.procesinfrastructuur.nl 

wus.procesinfrastructuur.nl pem | 2kB