Skip to end of banner
Go to start of banner

Verslag expertgroepsessie donderdag 13 januari 2022

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

Inleiding

Donderdag 13 januari 2022 is er een expertgroepsessie geweest betreffende de uitwerkingen voor PKIoverheid. Dit verslag geeft een samenvatting van hetgeen gepresenteerd is, de discussies die zijn gevoerd en de vragen die gesteld zijn.

Samenvatting van de presentatie

Doordat Logius gaat stoppen met het aanbieden van publieke servercertificaten (EV-certificaten), hebben wij te maken met een noodzakelijke aanpassing van het afsprakenstelsel. De geldigheid van de nu uitgegeven EV-certificaten eindigt op 4 december 2022. De huidige aanbieders van PKIoverheid zullen naar alle waarschijnlijkheid voor hun klanten komen met een alternatief, wat dat precies wordt is nog niet duidelijk.

Huidig gebruik van EV certificaten

EV-certificaten worden in de huidige vorm op twee manieren gebruikt, beiden om de authenticiteit van een server te kunnen waarborgen:

  1. Voor het frontchannel-verkeer binnen MedMij. Dus voor de communicatie met eindgebruikers, bijvoorbeeld in de webapplicaties die in browsers getoond worden.
  2. Voor het backchannel-verkeer binnen MedMij. In het afsprakenstelsel staat dat voor backchannelverkeer zogenaamde G1-certificaten gebruikt moeten worden, maar dat als uitzondering ook de EV-certificaten hiervoor toe te passen zijn.

Richtlijnen vanuit NCSC en VWS

  1. Nieuwe publieke servercertificaten voor frontchannel-verkeer moeten aan vergelijkbare eisen voldoen zoals PKIoverheid (CA2020).
    1. DNSSEC voor het domein
    2. CAA record op uitgever
    3. Organisation Validated servercertificaten
  2. Voor backchannel-verkeer kunnen alleen nog PKIoverheid G1-certificaten worden gebruikt.

Impact

  • De DVP's bieden webapplicaties aan hun gebruikers, oftewel de PGO. Deze moeten met nieuwe certificaten worden beveiligd.
  • De DVA's bieden voor de authenticatie en autorisatie van de Personen schermen aan. Deze moeten met nieuwe certificaten worden beveiligd.
  • Sommige deelnemers maken gebruik van de uitzondering om EV-certificaten ook voor backchannel-verkeer te gebruiken. Zij moeten voor al het backchannel-verkeer over naar PKIoverheid G1-certificaten.

Nieuwe certificaten

Vervangende certificaten kunnen afgenomen worden bij de leveranciers van PKIoverheid. Daarnaast mogen de vervangende certificaten afgenomen worden bij iedere leverancier die aan de eisen voldoet, zolang ook het certificaat aan de eisen voldoet. MedMij zal geen advies geven betreffende mogelijke leveranciers voor vervangende certificaten.

Vragen en opmerkingen tijdens expertgroepsessie 13 januari 2022

  1. Er wordt verwezen naar een passage in een tekst van NCSC

     https://www.ncsc.nl/documenten/factsheets/2021/september/29/factsheet-pkioverheid-stopt-met-webcertificaten

    Voor openbare websites en de meeste andere toepassingen van webservercertificaten, voldoet een DV (Domain Validation)-certificaat. Bij DV-certificaten controleert de leverancier de vermelde domeinnaam, maar niet de identiteit van de aanvrager. Vraagt u bijvoorbeeld een DV-certificaat voor ncsc.nl aan, dan controleert de leverancier wel dat u de houder bent van de domeinnaam ncsc.nl, maar hij vraagt u niet de naam van uw organisatie, of verder bewijs dat u namens deze organisatie handelt. Certificaten van het type Organisation Validation (OV), Extended Validation (EV) en Qualified Website Authentication Certificate (QWAC) kennen een oplopend niveau van controle op de identiteit van de aanvrager. Deze certificaten vermelden die identiteit ook, zodat het voor de bezoeker van een website mogelijk is om op te vragen wie de eigenaar van de website is. Vroeger leidde het gebruik van een EV-certificaat ook tot een zogenaamde 'groene balk' in de browser van bezoekers, maar geen van de populaire browsers doet dit nog. De meerwaarde van een OV-, EV- of QWAC-certificaat is daarmee beperkt voor toepassingen waar een lager niveau, zoals DV, ook geaccepteerd wordt. In sommige sectoren is het gebruik van een certificaat met een zeker controleniveau voor bepaalde toepassingen verplicht. Deze verplichting volgt dan uit sectorale wet- en regelgeving. Het NCSC is op de hoogte van één geval waarin dit speelt. Bedrijven in de financiële sector zijn op basis van de PSD2- 4 Zie https://www.logius.nl/diensten/digikoppeling. 5 Zie https://www.logius.nl/diensten/oin. wetgeving verplicht om voor bepaalde machine-to-machine-koppelingen een QWACcertificaat te gebruiken.

    Als NCSC aangeeft dat in de meeste gevallen DV goed genoeg is, waarom dan de eis om OV te verplichten? Dit is volgens de wet- en regelgeving alleen verplicht bij PSD2 in de financiële sector.

  2. Waarom wordt de verplichting gelegd op het niveau van certificaatuitgifte, terwijl de check ook tijdens audits uitgevoerd kan worden?
  3. Certificaten kunnen periodiek worden gecontroleerd, bijvoorbeeld of er geen wildcards worden gebruikt.
  4. Met een proxy aan de voorkant ziet niemand met welke server/service gecommuniceerd wordt.
  5. De hele wereld gebruikt DV-certificaten, dat wordt door niemand gecontroleerd. De eindgebruiker ziet over het algemeen niet welk type certificaat gebruikt wordt.
  6. De gebruiker ziet het niet meer, dus gebruik van wildcard DV is mogelijk.
  7. Het is een hoop extra werk en kosten voor een schijnveiligheid. Omdat er niet veel banken zijn, kan het daar worden toegepast. Wij hebben meer dan 40 partijen.
  8. Schijnzekerheid, zekerheid voor niets. Controle van KVK en sturen naar één endpoint gebeurt ook bij kwalificatie en acceptatie. De deelnemersovereenkomst is zekerder/toereikender voor de controle van de organisatie.
  9. We gebruiken nu, ondanks dat het volgens de regels niet mag, al DV-certificaten, bijvoorbeeld van Lets Encrypt.

Mogelijke opties voor de toekomst

  1. Verplichting voor minimaal OV certificaten
    1. inclusief wildcards
    2. exclusief wildcards
  2. Mogelijk gebruik van DV certificaten
    1. inclusief wildcards
    2. exclusief wildcards

Beleidslijnen vanuit VWS

https://www.rijksoverheid.nl/ministeries/ministerie-van-volksgezondheid-welzijn-en-sport/documenten/brieven/2021/12/15/memo-beleid-discontinueren-uitgifte-pkio-publieke-server-certificaten



OV certificatenOV wildcards certificatenDV certificatenDV wildcards certificaten
1aDe meest up-to-date WebTrust audit is succesvol doorlopen en de certificering is geldig voor de ‘Certificatie Authority’ op iedere schakel in de keten van ondertekeningen tot en met de uitgifte processen.Op het moment van certificaat-uitgifte moet een leverancier aan deze eis voldoen.
1bDe private certificaten moeten afkomstig zijn van PKI Overheid geaccrediteerde certificaat ketens.Op het moment van certificaat-uitgifte moet een leverancier aan deze eis voldoen.
2aDe ‘private key’ moet worden gegenereerd op het doelplatform waar het PKI certificaat wordt toegepast.



2bBij gebruik van publieke PKI certificaten is de toepassing van ‘Certification Authority Authorization Resource Record’ vereist.



2cHet toepassen van DNSSEC op de gebruikte domeinen is vereist onder de voorwaarden van pas-toe-of-leg-uit. Strengere eisen kunnen worden gesteld vanuit aanvullende kaders, zoals aansluitvoorwaarden.



2dHet gebruik van wildcard certificaten wordt niet toegestaan.
Niet mogelijk
Niet mogelijk
2eHet gebruik van ‘multi-domain’-certificaten is toegestaan, onder de voorwaarde dat de eigenaar van het certificaat gelijk is aan de eigenaar van alle domeinen die opgenomen zijn in de Subject Alt Name DNS waarden van het certificaat.



3aHet zekerheidsuitgifte niveau moet minimaal op het OV-niveau (Organisation Validated) of met hogere zekerheid zijn uitgegeven voor publieke PKI webserver certificaten wanneer persoonsgegevens van bijzondere aard worden verwerkt. Dit is relevant voor de aanschaf van het certificaat en dit valt achteraf te controleren op het bestaan van Policy Object Identifiers (OIDs) die markeren welk type certificaat het betreft.Minimaal niveau
Niet mogelijkNiet mogelijk
3bDe uitgever van de PKI certificaten is verantwoordingsplichtig aan de AVG en/of GDPR.De leverancier van certificaten moet in een EU-land gevestigd zijn.
4aVeilig beheer moet zijn toegepast zoals toegelicht in ‘Factsheet Veilig beheer van digitale certificaten’.



4bTrust op zorgsystemen met systeem-systeem koppelingen al proactief de ‘Staat der Nederlanden Private Root CA - G1’ (te downloaden vanaf https://cert.pkioverheid.nl/) voor zover dat nog niet het geval is.



Factsheet NCSC

https://www.ncsc.nl/documenten/factsheets/2021/september/29/factsheet-pkioverheid-stopt-met-webcertificaten



OV certificatenOV wildcards certificatenDV certificatenDV wildcards certificaten
1Mate van controle bij uitgifteDe leverancier controleert het eigendom van de vermelde domeinnaam en de identiteit van de aanvrager.De leverancier controleert het eigendom van de vermelde domeinnaam, maar niet de identiteit van de aanvrager.
2Wijze waarop domeinnaam vermeld staat

Deze certificaten vermelden die identiteit van de aanvrager, zodat het voor de bezoeker van een website mogelijk is om op te vragen wie de eigenaar van de website is.


3Stamcertificaat

4Te gebruiken voorOpenbare websites en de meeste andere toepassingen van webservercertificaten.
5MeerwaardeDe meerwaarde van een OV-, EV- of QWAC-certificaat is beperkt voor toepassingen waar een lager niveau, zoals DV, ook geaccepteerd wordt.
6Vermelding van domeinnamen

De domeinnamen waarvoor een certificaat geldt, staan vermeld in het Subject Alternative Name-veld.  Voor verschillende toepassingen kunt u het beste ook verschillende certificaten gebruiken.

7Gebruik wildcardcertificatenIn sommige toepassingen is van tevoren niet bekend welke subdomeinen er precies zullen worden aangeroepen, of wilt u niet dat deze subdomeinen openbaar worden. In zulke gevallen kunt u een wildcardcertificaat gebruiken. Dat is een certificaat dat voor alle subdomeinen van een domein tegelijk geldt. De vermelding is dan '*.example.nl'. Als u een wildcardcertificaat gebruikt, loopt u een iets groter risico dan bij een certificaat waar alle domeinnamen apart op staan. Een aanvaller die over de geheime sleutel beschikt, kan het immers ook gebruiken om andere toepassingen met een subdomein van die domeinnaam aan te vallen. Sommige certificaatleveranciers ondersteunen geen wildcardcertificaten. Overweegt u om een wildcardcertificaat te gebruiken, voer dan eerst een risicoanalyse uit.
8Uitstraling

De meeste van uw bezoekers zullen weliswaar niet controleren wie uw webservercertificaat heeft uitgegeven, maar desondanks kan het voor u belangrijk zijn dat u hiervoor niet met zomaar een partij in zee gaat.


9Leverancier

Voor het feitelijke veiligheidsniveau maakt het weinig uit, maar het kan voor uw bezoekers desondanks een geruststelling zijn als u een certificaat gebruikt dat bijvoorbeeld door een Nederlandse of Europese partij geleverd is.

9Automatisering
Steeds meer certificaatleveranciers automatiseren het proces van domeinvalidatie en certificaatuitgifte, in het bijzonder bij de uitgifte van DV-certificaten. De bekendste standaard hiervoor is ACME, die is ontwikkeld en gepopulariseerd door certificaatleverancier Let's Encrypt. Het aantal leveranciers dat ACME ondersteunt is nog beperkt, maar het valt te verwachten dat dit de komende jaren zal groeien.

Factsheet Logius

https://www.logius.nl/diensten/digid/documentatie/factsheet-dv-en-ov-certificaten-bij-digid


  • No labels