Inleiding
Donderdag 13 januari 2022 is er een expertgroepsessie geweest betreffende de uitwerkingen voor PKIoverheid. Dit verslag geeft een samenvatting van hetgeen gepresenteerd is, de discussies die zijn gevoerd en de vragen die gesteld zijn.
Samenvatting van de presentatie
Doordat Logius gaat stoppen met het aanbieden van publieke servercertificaten (EV-certificaten), hebben wij te maken met een noodzakelijke aanpassing van het afsprakenstelsel. De geldigheid van de nu uitgegeven EV-certificaten eindigt op 4 december 2022. De huidige aanbieders van PKIoverheid zullen naar alle waarschijnlijkheid voor hun klanten komen met een alternatief, wat dat precies wordt is nog niet duidelijk.
Huidig gebruik van EV certificaten
EV-certificaten worden in de huidige vorm op twee manieren gebruikt, beiden om de authenticiteit van een server te kunnen waarborgen:
- Voor het frontchannel-verkeer binnen MedMij. Dus voor de communicatie met eindgebruikers, bijvoorbeeld in de webapplicaties die in browsers getoond worden.
- Voor het backchannel-verkeer binnen MedMij. In het afsprakenstelsel staat dat voor backchannelverkeer zogenaamde G1-certificaten gebruikt moeten worden, maar dat als uitzondering ook de EV-certificaten hiervoor toe te passen zijn.
Richtlijnen vanuit NCSC en VWS
- https://logius.nl/actueel/uitfasering-pkio-webcertificaten-wat-moet-u-doen-voor-digid
- https://www.rijksoverheid.nl/ministeries/ministerie-van-volksgezondheid-welzijn-en-sport/documenten/brieven/2021/12/15/memo-beleid-discontinueren-uitgifte-pkio-publieke-server-certificaten
- Nieuwe publieke servercertificaten voor frontchannel-verkeer moeten aan vergelijkbare eisen voldoen zoals PKIoverheid (CA2020).
- DNSSEC voor het domein
- CAA record op uitgever
- Organisation Validated servercertificaten
- Voor backchannel-verkeer kunnen alleen nog PKIoverheid G1-certificaten worden gebruikt.
Impact
- De DVP's bieden webapplicaties aan hun gebruikers, oftewel de PGO. Deze moeten met nieuwe certificaten worden beveiligd.
- De DVA's bieden voor de authenticatie en autorisatie van de Personen schermen aan. Deze moeten met nieuwe certificaten worden beveiligd.
- Sommige deelnemers maken gebruik van de uitzondering om EV-certificaten ook voor backchannel-verkeer te gebruiken. Zij moeten voor al het backchannel-verkeer over naar PKIoverheid G1-certificaten.
Nieuwe certificaten
Vervangende certificaten kunnen afgenomen worden bij de leveranciers van PKIoverheid. Daarnaast mogen de vervangende certificaten afgenomen worden bij iedere leverancier die aan de eisen voldoet, zolang ook het certificaat aan de eisen voldoet. MedMij zal geen advies geven betreffende mogelijke leveranciers voor vervangende certificaten.
Vragen en opmerkingen tijdens expertgroepsessie 13 januari 2022
Er wordt verwezen naar een passage in een tekst van NCSC
Als NCSC aangeeft dat in de meeste gevallen DV goed genoeg is, waarom dan de eis om OV te verplichten? Dit is volgens de wet- en regelgeving alleen verplicht bij PSD2 in de financiële sector.
- Waarom wordt de verplichting gelegd op het niveau van certificaatuitgifte, terwijl de check ook tijdens audits uitgevoerd kan worden?
- Certificaten kunnen periodiek worden gecontroleerd, bijvoorbeeld of er geen wildcards worden gebruikt.
- Met een proxy aan de voorkant ziet niemand met welke server/service gecommuniceerd wordt.
- De hele wereld gebruikt DV-certificaten, dat wordt door niemand gecontroleerd. De eindgebruiker ziet over het algemeen niet welk type certificaat gebruikt wordt.
- De gebruiker ziet het niet meer, dus gebruik van wildcard DV is mogelijk.
- Het is een hoop extra werk en kosten voor een schijnveiligheid. Omdat er niet veel banken zijn, kan het daar worden toegepast. Wij hebben meer dan 40 partijen.
- Schijnzekerheid, zekerheid voor niets. Controle van KVK en sturen naar één endpoint gebeurt ook bij kwalificatie en acceptatie. De deelnemersovereenkomst is zekerder/toereikender voor de controle van de organisatie.
- We gebruiken nu, ondanks dat het volgens de regels niet mag, al DV-certificaten, bijvoorbeeld van Lets Encrypt.