Hoofdinhoud

De huidige G3 certificaten verlopen uiterlijk in november 2028. Om mee te gaan met de laatste technologische ontwikkelingen en als vervanging van de G3 certificaten introduceert PKIoverheid de G3+ en G4 certificaten. Wat is G3+ en G4? Welke impact heeft dit op uw dienstverlening en organisatie? U leest hierover meer in deze factsheet.

Vragen of meer informatie?

https://www.logius.nl/pkioverheid
servicecentrum@logius.nl

PKI voor de overheid, kortweg PKIoverheid, is een afsprakenstelsel. Het zorgt voor een veilige gegevensuitwisseling en verbinding tussen overheid, burgers en bedrijfsleven en tussen overheden onderling. Het afsprakenstelsel wordt beheerd door Logius en is verantwoordelijk voor de uitgifte en het beheer van kwalitatief hoog betrouwbare digitale certificaten, die een veilige en betrouwbare uitwisseling van gegevens ten doel hebben. Recent is een nieuwe generatie van PKIoverheidcertificaten gelanceerd: de G4. Tevens is er ook een update gekomen van de G3, de G3+.

G4: de nieuwe generatie

Binnen PKIoverheid worden tot nu toe alle certificaten uitgegeven onder twee verschillende Rootcertificaten, namelijk Publiek vertrouwd (alias: G3) en Privaat vertrouwd (alias: G1 Private. Publiek vertrouwd betekent dat het vertrouwensanker is opgenomen in de software van diverse partijen zoals Microsoft, Google, Apple en Mozilla. Hiermee worden alle certificaten die hieronder worden uitgegeven automatisch vertrouwd in browsers en/of email clients. Bij privaat vertrouwd bepaald uw organisatie zelf of deze certificaten vertrouwd worden.). Het belang van certificaten neemt toe. Daarnaast verandert de regelgeving en worden de beveiligingskaders continu aangescherpt. Om die reden zijn de nieuwe generatie certificaten G3+ en G4 ontwikkeld. De huidige G3(+) en G1 Private certificaten blijven geldig tot uiterlijk november 2028. Logius moedigt iedereen aan zo spoedig mogelijk over te stappen. Neem hiervoor contact op met uw TSP. 

G4: Wat is er nieuw?

  1. G4 beschikt over 4 Root certificaten in plaats van 2. Ieder voor verschillend gebruik en onderhevig aan eigen (externe) kaders:

    1. S/MIME (publiek vertrouwd);

    2. EU-gekwalificeerde digitale handtekeningen;

    3. Server authenticatie (privaat vertrouwd);

    4. Overig (privaat vertrouwd; vooral bedoeld voor authenticatiedoeleinden),

  2. Elk type eindgebruikerscertificaat is nog maar voor één doeleinde te gebruiken (dus bijvoorbeeld niet langer zowel authentiseren als een digitale handtekening);

  3. G4 bevat een moderner cryptografisch algoritme voor het ondertekenen van alle certificaten: RSASSA-PKCS1-v1_5 is vervangen door RSASSA-PSS. RSASSA-PSS met SHA-256, MGF-1 met SHA-256, en een salt lengte van 32 bytes.;

  4. De naamgeving van zowel de eindgebruikerscertificaten als die van de bovenliggende hiërarchie is aangepast. Hierdoor sluiten ze beter aan bij internationale normen en kaders en is het makkelijker te zien waarvoor een certificaat kan worden gebruikt, wat de doelgroep is, het validatietype en het vertrouwensanker.

Een vertrouwd gezicht in een nieuw jasje

G3+: Tussentijdse aanpassing G3 ten behoeve van S/MIME

Door gewijzigde regelgeving is het sinds september 2024 niet langer mogelijk gebruik te maken van G3 certificaten voor het beveiligen van email (S/MIME). Om deze functionaliteit toch te kunnen blijven aanbieden is een nieuwe tak aangemaakt binnen de G3, namelijk de G3+. Het verschil tussen G3 en G3+:

  • G3+ S/MIME certificaten kunnen alleen nog maar worden gebruikt voor het beveiligen van email;
  • G3+ S/MIME certificaten mogen niet langer geleverd worden op secure cryptographic devices (smart card, token, etc.).

Nieuw cryptografisch algoritme 

Onder de G3 is het cryptografisch algoritme voor het ondertekenen van alle certificaten RSASSA-PKCS1-v1_5. Voor gebruik binnen de EU is dit algoritme inmiddels bestempeld als Legacy. Voor de G4 is het algoritme RSASSA-PSS(2) gekozen omdat deze door de meeste software en relevante PKI kaders wordt ondersteund. 

Quantum-resistant algoritmen zijn nog niet bruikbaar in een productieomgeving met PKI-certificaten. Logius houdt deze ontwikkelingen nauwgezet in de gaten, en stelt testcertificaten beschikbaar als standaardisatie op dit vlak verder is doorontwikkeld. De G4 architectuur is echter gebouwd om makkelijk dit algoritme te kunnen adopteren wanneer nodig.

Wat betekent dit voor mijn organisatie?

In de G4 kan elk certificaat maar voor één enkel doeleinde worden gebruikt, en zijn de certificaattypen onderverdeeld per root met elk eigen kenmerkende regelgeving. Dit kan gevolgen hebben voor het aantal certificaten dat uw organisatie nodig heeft. In de vertaaltabel “Welk type certificaat heb ik nodig?” op logius.nl/pkioverheid kunt u zien welke G4 certificaten u nodig heeft. Het is daarom van belang om te weten waarvoor u de G3 certificaten momenteel inzet!

De G3+ en de G4 certificaten worden geleidelijk uitgerold bij de diverse Trust Service Providers. Organisaties stappen daarom in toenemende mate over op deze certificaten. Voor november 2028 moeten alle organisaties zijn overgestapt op de G4.

Wees voorbereid!

Het kost uw organisatie tijd om met de nieuwe certificaten te kunnen werken. Hoe eerder uw organisatie begint, hoe meer tijd uw organisatie heeft om onderstaande stappen te doorlopen. Op die manier verloopt de overstap naar de G4 voor iedereen voorspoedig.

Stappenplan

Stap 1: Met behulp van de vertaaltabel, inventariseer voor welke doeleinden de huidige certificaten worden gebruikt zodat uw organisatie straks de correcte G4 certificaten kan bestellen; 

Stap 2: Inventariseer alle systemen die gebruik maken van PKIoverheid certificaten en controleer of deze het RSASSA-PSS algoritme ondersteunen;

Stap 3: Update software in geval van ontbrekende RSASSA-PSS ondersteuning;

Stap 4: Houd rekening met het feit dat nu wellicht meerdere nieuwe PKIoverheid roots moeten worden geïmporteerd in de Trust Store van de verschillende informatiesystemen in uw organisatie;

Stap 5: Test grondig voordat G4 certificaten op grote schaal worden uitgerold. Dit geldt dus zowel bij gebruik als bij acceptatie van G4 certificaten.

Welk PKIoverheid G4-certificaat heeft u nodig?

Voor de nieuwe G4-certificaten van PKIoverheid gebruiken we een andere indeling dan u gewend ben van de G3/G1-generatie. Met dit overzicht helpen we u om de juiste keuze te maken bij het vervangen van uw huidige certificaten. Ook deze nieuwe certificaten schaft u aan bij één van de aangesloten Trust Service Providers.

De onderstaande tabel ziet u per soort dienstverlening welk certificaat u in de toekomst nodig heeft. Of welke u mogelijk kunt ontvangen van tegenpartijen. Achter elk type staat ook de zogenaamde Certificate Policy Object Identifier (OID) vermeld die het certificaattype uniek aanduidt.

Op pkioverheid.nl vindt u complete en actuele detailinformatie over:

  • Root-, intermediate- en TSP-certificaten
  • De bijbehorende Certificate Policy (CP)
  • Certificate Practice Statement (CPS)
  • Certificate Revocation Lists (CRL)
  • PKIoverheid Object Identifiers (OID)

 

Certificaten voor organisaties

Client-authenticatie

Uitsluitend SAML of mTLS te gebruiken bij SBR, Digipoort, DigiD, etc.

G3/G1 certificaat G4-certificaat

G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6) zonder domeinnamen

G3 Organisatie Services Authenticiteit certificaat 
(OID: 2.16.528.1.1003.1.2.5.4)

 G4 Private Other Generic Legal Persons Organization Validated Authentication 
(OID: 2.16.528.1.1003.1.2.44.16.25.8)

Server-authenticatie

Webserver, kan ook gebruikt worden voor SBR, Digipoort, DigiD, etc.

G3/G1 certificaat G4-certificaat
G1 Private Services Server certificaat (OID: 2.16.528.1.1003.1.2.8.6) met domeinnamen G4 Private TLS Generic Devices Organization Validated Server (OID: 2.16.528.1.1003.1.2.44.15.35.11) *

EU-gekwalificeerde digitale handtekening

eIDAS eSeal

G3/G1 certificaat G4-certificaat
G3 Organisatie Services Onweerlegbaarheid certificaat 
(OID 2.16.528.1.1003.1.2.5.7)		 G4 EUTL Organization Validated eSeal 
(OID: 2.16.528.1.1003.1.2.44.14.25.5)

Certificaten voor individuen

EU-gekwalificeerde digitale handtekening

Individuen in hoedanigheid van beroepsbeoefenaar (eIdas e-signature)

G3/G1 certificaat G4-certificaat
G3 Organisatie Persoon Onweerlegbaarheid certificaat 
(OID: 2.16.528.1.1003.1.2.5.2)		 G4 EUTL Regulated Profession eSignature 
(OID: 2.16.528.1.1003.1.2.44.14.12.5)

Individuen (algemeen)

G3/G1 certificaat G4-certificaat
G3 Burger Onweerlegbaarheid certificaat (OID: 2.16.528.1.1003.1.2.3.2) G4 EUTL Individual Validated eSignature 
(OID: 2.16.528.1.1003.1.2.44.14.11.5)