Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Samenvatting van de presentatie

Doordat Logius (PKIO) gaat stoppen met het aanbieden van publieke servercertificaten (EV-certificaten), hebben wij te maken met een noodzakelijke aanpassing van het afsprakenstelsel. De geldigheid van de nu uitgegeven EV-certificaten eindigt op 4 december 2022. De huidige aanbieders van PKIoverheid zullen naar alle waarschijnlijkheid voor hun klanten komen met een alternatief, wat dat precies wordt is nog niet duidelijk.

...

  1. Er wordt verwezen naar een passage in een tekst van NCSC

    Expand
    titlehttps://www.ncsc.nl/documenten/factsheets/2021/september/29/factsheet-pkioverheid-stopt-met-webcertificaten

    Voor openbare websites en de meeste andere toepassingen van webservercertificaten, voldoet een DV (Domain Validation)-certificaat. Bij DV-certificaten controleert de leverancier certificaatleverancier de vermelde domeinnaam, maar niet de identiteit van de aanvrager. Vraagt u bijvoorbeeld een DV-certificaat voor ncsc.nl aan, dan controleert de leverancier wel dat u de houder bent van de domeinnaam ncsc.nl, maar hij vraagt u niet de naam van uw organisatie, of verder bewijs dat u namens deze organisatie handelt. Certificaten van het type Organisation Validation (OV), Extended Validation (EV) en Qualified Website Authentication Certificate (QWAC) kennen een oplopend niveau van controle op de identiteit van de aanvrager. Deze certificaten vermelden die identiteit ook, zodat het voor de bezoeker van een website mogelijk is om op te vragen wie de eigenaar/ verantwoordelijke organisatie van de website is. Vroeger leidde het gebruik van een EV-certificaat ook tot een zogenaamde 'groene balk' in de browser van bezoekers, maar geen van de populaire browsers doet dit nog. De meerwaarde van een OV-, EV- of QWAC-certificaat is daarmee beperkt voor toepassingen waar een lager niveau, zoals DV, ook geaccepteerd wordt. In sommige sectoren is het gebruik van een certificaat met een zeker controleniveau voor bepaalde toepassingen verplicht. Deze verplichting volgt dan uit sectorale wet- en regelgeving. Het NCSC is op de hoogte van één geval waarin dit speelt. Bedrijven in de financiële sector zijn op basis van de PSD2- 4 Zie https://www.logius.nl/diensten/digikoppeling. 5 Zie https://www.logius.nl/diensten/oin. wetgeving verplicht om voor bepaalde machine-to-machine-koppelingen een QWACcertificaat te gebruiken.

    Als NCSC aangeeft dat in de meeste gevallen DV goed genoeg is, waarom dan de eis om OV te verplichten? Dit is volgens de wet- en regelgeving alleen verplicht bij PSD2 in de financiële sector.

  2. Waarom wordt de verplichting gelegd op het niveau van certificaatuitgifte, terwijl de check ook tijdens audits uitgevoerd kan worden?
  3. Certificaten kunnen periodiek worden gecontroleerd, bijvoorbeeld of er geen wildcards worden gebruikt.
  4. Met een proxy aan de voorkant ziet niemand met welke server/service gecommuniceerd wordt.
  5. De hele wereld gebruikt DV-certificaten, dat wordt door niemand gecontroleerd. De eindgebruiker ziet over het algemeen niet welk type certificaat gebruikt wordt.
  6. De gebruiker ziet het niet meer, dus gebruik van wildcard DV is mogelijk.
  7. Het is een hoop extra werk en kosten voor een schijnveiligheid. Omdat er niet veel banken zijn, kan het daar worden toegepast. Wij hebben meer dan 40 partijen.
  8. Schijnzekerheid, zekerheid voor niets. Controle van KVK en sturen naar één endpoint gebeurt ook bij kwalificatie en acceptatie. De deelnemersovereenkomst is zekerder/toereikender voor de controle van de organisatie.

Mogelijke opties voor de toekomst

  1. Verplichting voor minimaal OV certificaten
    1. inclusief wildcards
    2. exclusief wildcards
  2. Mogelijk gebruik van DV certificaten
    1. inclusief wildcards
    2. exclusief wildcards

Beleidslijnen vanuit VWS

https://www.rijksoverheid.nl/ministeries/ministerie-van-volksgezondheid-welzijn-en-sport/documenten/brieven/2021/12/15/memo-beleid-discontinueren-uitgifte-pkio-publieke-server-certificaten

...

Factsheet NCSC

https://www.ncsc.nl/documenten/factsheets/2021/september/29/factsheet-pkioverheid-stopt-met-webcertificaten

...

Deze certificaten vermelden die identiteit van de aanvrager, zodat het voor de bezoeker van een website mogelijk is om op te vragen wie de eigenaar van de website is.

...

De domeinnamen waarvoor een certificaat geldt, staan vermeld in het Subject Alternative Name-veld.  Voor verschillende toepassingen kunt u het beste ook verschillende certificaten gebruiken.

...

De meeste van uw bezoekers zullen weliswaar niet controleren wie uw webservercertificaat heeft uitgegeven, maar desondanks kan het voor u belangrijk zijn dat u hiervoor niet met zomaar een partij in zee gaat.

...

Voor het feitelijke veiligheidsniveau maakt het weinig uit, maar het kan voor uw bezoekers desondanks een geruststelling zijn als u een certificaat gebruikt dat bijvoorbeeld door een Nederlandse of Europese partij geleverd is.

...

  1. We gebruiken nu, ondanks dat het volgens de regels niet mag, al DV-certificaten, bijvoorbeeld van Lets Encrypt.