...
Waarom is deze RFC nodig? | Het CA/Browser Forum constateerde in juli wereldwijd 293 intermediate server certificaten niet aan de Baseline Requirements voldoen. Servercertificaten missen een extensie die volgens de richtlijnen wel aanwezig moet zijn: “id-pkix-ocsp-nocheck”. De lijst bevat ook 29 PKIoverheid intermediate certificaten die door Logius zijn uitgegeven. Logius heeft met NCSC en certificaatverstrekkers (TSP’s) actieplan opgesteld om de certificaten weer aan de richtlijn te laten voldoen en aan het CA/Browser Forum voorgelegd. In plaats van certificaten intrekken worden certificaten opnieuw uitgegeven op basis van dezelfde sleutel (CSR), met de juiste instellingen. Gevolg is dat eindgebruikerscertificaten vervangen moeten worden; voor MedMij deelnemers en beheerorganisatie betekent dit dat alle G3 certificaten moeten worden vervangen. |
---|---|
Oplossingsrichting | In MedMij werden tot nu toe alleen PKIo certificaten van de G3 boom toegestaan (G2 boom was al eerder opgeheven). Om in lijn te komen met de nieuwe Logius richtlijnen, moeten zowel certificaten uit de volgende bomen opgenomen worden in de trust stores van deelnemers en beheerorganisatie: G3 (zijn al opgenomen), EV (vervanging van G3) én G1 (vervanging van G3 op backchannel). Idealiter wordt deze verruiming zodanig verwoord dat MedMij zich conformeert en verwijst naar eisen die Logius PKI-Overheid stelt (in plaats van zelf expliciete uitspraken daarover op te nemen in het AS). |
Aanpassing van | Afsprakenstelsel eisen |
Impact op rollen | DVP, DVZA, beheerorganisatie |
Impact op beheer | Coördineren van de certifcaat-wissel (buiten scope RFC) |
Impact op RnA | Aanpassing van de truststore op alle nodes |
Impact op Acceptatie | Aanpassing van de truststore op alle test omgevingen |
Gerelateerd aan (Andere RFCs, PIM issues) | |
Eigenaar | |
Implementatietermijn | 1 oktober |
Motivatie verkorte RFC procedure (patch) | Eis vanuit Logius en CA/browser forum. Niet voldoen betekent dat er gewerkt gaat worden met ongeldige certificaten. |
...