Document toolboxDocument toolbox

RFC0037 gebruik CRL bij G1 certificaten

Samenvatting

Waarom is deze RFC nodig?

Gebleken is dat bij het gebruik van G1 certificaten het gebruik van OCSP niet door de intermediate certificaten wordt ondersteund. Hierdoor kan niet de hele bundle worden gecontroleerd met OCSP.

Oplossingsrichting

Maak gebruik van CRL voor G1 certificaten, zolang Logius het gebruik van OCSP niet heeft toegevoegd aan de tree.

Aanpassing van

Netwerk

Impact op rollen

Alle deelnemers moeten CRL gaan toepassing, daar waar tot nu veelal OCSP werd toegepast. 

Impact op beheer


Impact op RnA

Ook de RnA moet CRL gaan toepassen, daar waar tot nu veelal OCSP werd toegepast.  (NB: Moet dit nog voor 100% uitzoeken, maar volgens mij gebruikt RenA CRL als basis en daarnaast (question) OCSP)

Impact op Acceptatie

Foutieve (ingetrokken) certificaten mogen niet geaccepteerd worden.

Gerelateerd aan (Andere RFCs, PIM issues)


EigenaarEgbert van Gelder Casper van der Harst


Implementatietermijn


Motivatie verkorte RFC procedure (patch)


Goedkeuring

BeoordelaarDatumToelichtingBeoordelaarDatumToelichting
Productmanager Stichting MedMij

Productmanager Beheerorganisatie

Leadarchitect Stichting MedMij

Leadarchitect Beheerorganisatie

Ontwerpteam




Deelnemersraad

Eigenaarsraad

Principe's

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

Neutraal

11 Stelselfuncties worden vanaf de start ingevuld

Neutraal

2 Dienstverleners zijn transparant over de gegevensdiensten 

Neutraal

12 Het afsprakenstelsel is een groeimodel

Positief

3 Dienstverleners concurreren op de functionaliteiten

Neutraal

13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders

Positief

4 Dienstverleners zijn aanspreekbaar door de gebruiker

Neutraal

14 Uitwisseling is een keuze

Neutraal

5 De persoon wisselt gegevens uit met de zorgaanbieder

Neutraal

15 Het MedMij-netwerk is gebruiksrechten-neutraal

Neutraal

6 MedMij spreekt alleen af wat nodig is

Negatief

16 De burger regisseert zijn gezondheidsinformatie als uitgever

Neutraal

7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener

Neutraal

17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld

Neutraal

9 De dienstverleners zijn deelnemers van het afsprakenstelsel

Neutraal

18 Afspraken worden aantoonbaar nageleefd en gehandhaafd

Positief

10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling

Neutraal

19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat

Neutraal

Uitwerking

Voor de korte termijn moeten de teksten in de versies 1.2.0 en 1.3.0 van het afsprakenstelsel worden aangepast worden. MedMij kiest er voor vast te houden aan het gebruik van certificaten, zoals bedoeld vanuit het vervangingsprogramma van PKIoverheid. Omdat veilig

Let op: Verplicht gebruik CRL

De intermediate certificaten in de G1 hiërarchie van PKIoverheid bieden geen ondersteuning van OCSP. De gehele keten, van root- tot eindcertificaat, moet gevalideerd worden. Voor de validatie van de intermediate certificaten moet derhalve gebruikgemaakt worden van CRL.



In eerste instantie is er een patch nodig op de versies 1.2.0 en 1.3.0 van het afsprakenstelsel. Voor de volgende versie moeten de afspraken goed ondrezocht en wellicht herschreven worden.

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

DreigingKansImpactDreigingsID (intern)Maatregelen





Bijlagen

  File Modified
No files shared here yet.