...
6c. Met inachtneming van verantwoordelijkheid 6a, accepteren ZA Node, PGO Node en MedMij Stelselnode
zowel G2- als G3-certificatenPKIo certficaten van elkaar door:
- alle root-certificaten te vertrouwen zoals gepubliceerd op https://cert.pkioverheid.nl/;
- waarvan de geldigheidsdatum niet is verlopen en die NIET zijn ingetrokken;
- met uitzondering van de onderstaande root certificaten (deze zijn NIET toegestaan):
- de zogenaamde 'TEST' certificaten
- Alle roots gemarkeerd met 'Persoon'
- deelnemers moeten alle valide domein en TSP certificaten onder PKIo hiërarchie opnemen in de truststore; zie hiervoor https://cert.pkioverheid.nl/;
- met uitzondering van (deze roots moeten NIET opgenomen worden):
- Organisatie Persoon
- Burger
- Autonome apparaten
- Private Personen
- ook de zogenaamde intermediate-certificaten moeten worden opgenomen in de truststore
de root-certificatenStaat der Nederlanden Root CA - G2 en Staat der Nederlanden Root CA - G3, zoals gepubliceerd op https://cert.pkioverheid.nl, te vertrouwen;alle PKIoverheid TSP- en domeincertificaten onder de respectievelijke G2- en G3-hiërarchieën te herkennen en te vertrouwen, voor zover zij volgens https://cert.pkioverheid.nl:
onder het G3-Domein Organisatie Services vallen en van het type Server zijn, of onder het G2-Domein Organisatie vallen;niet ingetrokken zijn.op G2 en G3 toepasselijke veranderingen op https://cert.pkioverheid.nl binnen tien werkdagen te verwerken en te hanteren.Toelichting
PKIoverheid TSP's geven certificaten uit onder verschillende root-certificaten van de Staat der Nederlanden: een oude (G2) en een nieuwe (G3). De classificatie van soorten certificaten (domeinen) verschilt tussen G2 en G3. De geldigheid van G2-certificaten zal uiterlijk eindigen op 22 maart 2020. Hoewel er dus geen G2-certificaten meer kunnen worden uitgegeven met een geldigheid van drie jaar, moet het vooralsnog mogelijk zijn oudere G2-certificaten te gebruiken voor MedMij-doeleinden. Waar PKIoverheid-certificaten moet worden geaccepteerd, moeten die dus G2- of G3-certificaten kunnen zijn. Het MedMij Afsprakenstelsel heeft geen redenen extra beperkingen op te leggen ten opzichte van hoe PKIoverheid de transitie van G2 naar G3 maakt.Verantwoordelijkheid 6c komt overeen met eisen dienaangaande van het Afsprakenstelsel eHerkenning, met dien verstande dat in het MedMij Afsprakenstelsel EV-certificaten niet te hoeven worden geaccepteerd. In de uitgebreidere validatie van certificaathouders waarvan sprake is bij EV-certificaten, wordt voorzien in het acceptatieproces van deelnemers in het MedMij Afsprakenstelsel.
Omdat het vastnieten van OCSP antwoorden (stapling) is toegestaan, zal iedere Node welke een certificaat moet controleren het vastnieten in zoverre moeten ondersteunen dat het alleen het feit dat er een vastgeniet OCSP antwoord gebruikt wordt niet mag leiden tot een foutmelding of het anderszins plots beëindigen van de TLS handshake of sessie.
De intermediate certificaten van vertrouwde PKIO leveranciers moeten ook opgenomen in de truststore. Op dit moment zijn dit de volgende leveranciers:
- KPN PKIoverheid Private Services CA - G1
- QuoVadis PKIoverheid Private Services CA - G1
- UZI-register Private Server CA G1
- ZOVAR Private Server CA G1
- Digidentity BV PKIoverheid Private Services CA - G1
6d. Deelnemers moeten voldoen aan de eisen zoals gesteld aan
Risico's
Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.
...