Document toolboxDocument toolbox

MO-32, Verduidelijking gebruik certificaten

Owned by Casper van der Harst
Last updated: Jul 14, 2023Version comment
3 min read

1. Managementsamenvatting


2. Koppelingen


3. Inleiding


4. Huidige situatie

4.1. Probleemstelling

Het is niet altijd duidelijk welke certificaten gebruikt moeten worden voor de beveiliging van het verkeer. In de basis wordt gesproken over frontchannel- en backchannelverkeer en hoe dit beveiligd moet worden. Wat backchannel verkeer is lijkt wel duidelijk. Frontchannel verkeer echter niet. Vallen bijvoorbeeld de API's hier ook onder. Hierover moet in de huidige gepubliceerde versies duidelijkheid worden verschaft.

4.2. Stakeholders (RACI)

4.3. Huidige beschikbare informatie

Backchannel-verkeer

tussen Persoonsdomein en Aanbiedersdomein

Verkeer dat niet zichtbaar is voor Persoon. Het gaat hierbij om verkeer tussen servers uit verschillende domeinen, die zonder tussenkomst van een Persoon met elkaar communiceren.

Frontchannel-verkeer

tussen Persoonsdomein en Aanbiedersdomein

Al het verkeer dat zichtbaar is voor Persoon, vaak is hierbij een User-Agent betrokken.


7.

Voor authenticatie en autorisatie bij backchannel-verkeer op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKIoverheid-certificaat overleggen, en wel een G1-certificaat van een PKIoverheid TSP.

  • Private Root CA (per medio 2020 de standaard voor m2m)

    • Stamcertificaat

      • Staat der Nederlanden Private Root CA - G1

    • Domein Private Services, maar alleen de volgende:

      • Staat der Nederlanden Private Services CA - G1

      • KPN PKIoverheid Private Services CA - G1

      • QuoVadis PKIoverheid Private Services CA - G1

      • Digidentity BV PKIoverheid Private Services CA - G1

Uitzondering

Partijen die op 25-02-2022 al Deelnemer van MedMij waren en gebruikmaken van een publiek certificaat voor de beveiliging van hun backchannel-verkeer, kunnen dit certificaat tot uiterlijk 4 december 2022 gebruiken. Hierna is het gebruik van een privaat (G1) certificaat van PKIoverheid ook voor deze deelnemers verplicht voor de beveiliging van al het backchannel-verkeer en zal deze uitzondering verwijderd worden.

  • Stamcertificaat

    • Staat der Nederlanden EV Root CA

  • Intermediair Domein Server CA 2020

    • QuoVadis PKIoverheid Server CA 2020

    • Digidentity PKIoverheid Server CA 2020

    • KPN PKIoverheid Server CA 2020


core.tls.314

8.

Voor authenticatie en autorisatie bij frontchannel-verkeer tussen productieomgevingen op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKI-certificaat overleggen dat aan de volgende eisen voldoet:

  1. De vereisten aan de certificaat leverancier voor PKI certificaten zijn:

    1. De meest up-to-date WebTrust audit is succesvol doorlopen en de certificering is geldig voor de ‘Certificatie Authority’ op iedere schakel in de keten van ondertekeningen tot en met de uitgifte processen.

  2. De technische vereisten zijn:

    1. De ‘private key’ moet worden gegenereerd op het doelplatform waar het PKI certificaat wordt toegepast.

    2. Bij gebruik van publieke PKI certificaten is de toepassing van ‘Certification Authority Authorization Resource Record’ vereist.

    3. Het toepassen van DNSSEC op de gebruikte domeinen is vereist onder de voorwaarden van pas-toe-of-leg-uit. Strengere eisen kunnen worden gesteld vanuit aanvullende kaders, zoals aansluitvoorwaarden.

    4. Het gebruik van wildcard certificaten wordt niet toegestaan.

    5. Het gebruik van ‘multi-domain’-certificaten is toegestaan, onder de voorwaarde dat de eigenaar van het certificaat gelijk is aan de eigenaar van alle domeinen die opgenomen zijn in de Subject Alt Name DNS waarden van het certificaat.

  3. Uitgifte:

    1. Het zekerheidsuitgifte niveau moet minimaal op het OV-niveau (Organisation Validated) of met hogere zekerheid zijn uitgegeven voor publieke PKI webserver certificaten wanneer persoonsgegevens van bijzondere aard worden verwerkt. Dit is relevant voor de aanschaf van het certificaat en dit valt achteraf te controleren op het bestaan van Policy Object Identifiers (OIDs) die markeren welk type certificaat het betreft.

    2. De uitgever van de PKI certificaten is verantwoordingsplichtig aan de AVG en/of GDPR.

  4. Beheer:

    1. Veilig beheer moet zijn toegepast zoals toegelicht in ‘Factsheet Veilig beheer van digitale certificaten’.

Uitzondering

Partijen die op 25-02-2022 al Deelnemer van MedMij waren en gebruikmaken van een publiek certificaat voor de beveiliging van hun frontchannel-verkeer, kunnen dit certificaat tot uiterlijk 4 december 2022 gebruiken. Hierna is het gebruik van publiek certificaat dat voldoet aan de hierboven genoemde eisen verplicht en zal deze uitzondering verwijderd worden.

  • Stamcertificaat

    • Staat der Nederlanden EV Root CA

  • Intermediair Domein Server CA 2020

    • QuoVadis PKIoverheid Server CA 2020

    • Digidentity PKIoverheid Server CA 2020

    • KPN PKIoverheid Server CA 2020


core.tls.315

5. Doel / Gewenste situatie

Voor alle het verkeer in het MedMij netwerk is duidelijk welke rechten, plichten en vrijheden de deelnemers hebben betreffende het gebruik van certificaten.

5.1. Scenario's


5.2. Requirements


6. Oplossingsrichtingen

6.1. Usecases


6.2. Voor- en nadelen


7. Advies


8. Bronvermelding