Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Waarom is deze RFC nodig?

Het CA/Browser Forum constateerde in juli wereldwijd 293 intermediate server certificaten niet aan de Baseline Requirements voldoen. Servercertificaten missen een extensie die volgens de richtlijnen wel aanwezig moet zijn: “id-pkix-ocsp-nocheck”. De lijst bevat ook 29 PKIoverheid intermediate certificaten die door Logius zijn uitgegeven. Logius heeft met NCSC en certificaatverstrekkers (TSP’s) actieplan opgesteld om de certificaten weer aan de richtlijn te laten voldoen en aan het CA/Browser Forum voorgelegd. In plaats van certificaten intrekken worden certificaten opnieuw uitgegeven op basis van dezelfde sleutel (CSR), met de juiste instellingen. Gevolg is dat eindgebruikerscertificaten vervangen moeten worden; voor MedMij deelnemers en beheerorganisatie betekent dit dat alle G3 certificaten moeten worden vervangen.
De 'G3 boom' wordt vervangen door de nieuwe 'Extended Validation boom'; daarnaast wil Logius in het kader van functiescheiding dat voor M2M toepassingen private certificates uit de G1 boom toegepast gaan worden. 

Oplossingsrichting

In MedMij werden tot nu toe alleen PKIo certificaten van de G3 boom toegestaan (G2 boom was al eerder opgeheven). Om in lijn te komen met de nieuwe Logius richtlijnen, moeten zowel certificaten uit de volgende bomen opgenomen worden in de trust stores van deelnemers en beheerorganisatie: G3 (zijn al opgenomen), EV (vervanging van G3) én G1 (vervanging van G3 op backchannel).

Idealiter wordt deze verruiming zodanig verwoord dat MedMij zich conformeert en verwijst naar eisen die Logius PKI-Overheid stelt (in plaats van zelf expliciete uitspraken daarover op te nemen in het AS).

Aanpassing van

Afsprakenstelsel eisen 

Impact op rollen

DVP, DVZA, beheerorganisatie

Impact op beheer

Coördineren van de certifcaat-wissel (buiten scope RFC)

Impact op RnA

Aanpassing van de truststore op alle nodes

Impact op Acceptatie

Aanpassing van de truststore op alle test omgevingen

Gerelateerd aan (Andere RFCs, PIM issues)
Eigenaar
Implementatietermijn

1 oktober

Motivatie verkorte RFC procedure (patch)

Eis vanuit Logius en CA/browser forum. Niet voldoen betekent dat er gewerkt gaat worden met ongeldige certificaten.

...