Digipoort accepteert privaat vertrouwde PKIoverheid services servercertificaten

7-11-2018 | Digipoort

Digipoort maakt gebruik van PKIoverheid-certificaten zodat gegevens op vertrouwelijke wijze uitgewisseld kunnen worden tussen systemen. Als via Digipoort gegevens uitgewisseld worden voor bijvoorbeeld SBR, e-factureren of DigiInkoop, dan heeft u een PKIoverheid services servercertificaat nodig. Deze certificaten worden uitgegeven in twee varianten, vanuit een Public Root en sinds kort ook vanuit een Private Root.

Per 1 maart 2018 is de geldigheidsduur van publiek vertrouwde (Public Root) services servercertificaten teruggebracht tot maximaal 2 jaar en drie maanden (dit was voorheen 3 jaar, lees meer over de geldigheidsduur van PKIoverheid certificaten). Een kortere geldigheidsduur betekent dat een certificaatgebruiker het certificaat vaker moet wisselen. Daarom heeft Digipoort besloten om ook privaat vertrouwde (Private Root) services servercertificaten te accepteren, die een geldigheidsduur hebben van 3 jaar. Digipoort zelf maakt ook gebruik van PKIoverheid services servercertificaten en zal op termijn, bij een volgende noodzakelijke certificaatwissel, ook overgaan op een Private Root certificaat.

Verschil publiek en privaat vertrouwd certificaat

Voor zowel een Public Root als een Private Root certificaat geldt dat ze veilig beheerd worden en goedgekeurd worden door een derde, onafhankelijke partij en volledig vallen onder het toezicht van PKIoverheid. De certificaten verschillen echter op twee punten, de geldigheidsduur en de toepassing van het certificaat.

Een Public Root certificaat is maximaal 2 jaar en drie maanden geldig (825 dagen). Public Root betekent dat het bovenliggende vertrouwensanker (de Root CA) bij softwareleveranciers zoals Microsoft (voor Internet Explorer) en Google (voor Chrome) is aangemeld. Dit betekent dat bezoekers van websites die beveiligd zijn met een dergelijk PKIoverheid-certificaat, het certificaat automatisch vertrouwen. In ruil daarvoor dient de eigenaar van de Root CA (Logius) te voldoen aan regelgeving zoals deze door softwareleveranciers verplicht wordt gesteld in hun programma. Met name voor toepassingen die worden gebruikt in webbrowsers is dit ‘automatische vertrouwen’ erg handig. De gebruiker hoeft dan zelf geen actie te ondernemen om het certificaat te vertrouwen.

Een Private Root certificaat is 3 jaar geldig. Dit type certificaat is niet aangemeld bij softwareleveranciers en hoeft dus niet te voldoen aan de gestelde eisen van softwareleveranciers. Aangezien dit certificaat niet aangemeld is bij softwareleveranciers wordt dit type certificaat niet automatisch vertrouwd door webbrowsers.  Dit is echter geen belemmering als het certificaat wordt gebruikt voor berichtenverkeer tussen systemen. Omdat hier geen browserverkeer tussen zit moeten de PKIoverheid-certificaten nagenoeg altijd zelfstandig worden vertrouwd (door de beheerder van de omgeving).

Bekijk de animatie PKIoverheid services servercertificaten voor het verschil tussen de twee typen certificaten.

Aanschaf of vervangen certificaat

Gaat u binnenkort een certificaat aanschaffen of laten vervangen? Bespreek dan met de certificaat uitgevende partij van uw keuze welk type certificaat voor uw organisatie het meest geschikt is. Geef daarbij aan voor welke doelen u het certificaat wilt gebruiken (alleen voor Digipoort of ook voor andere door webbrowser gebruikte toepassingen).