Document toolboxDocument toolbox

MO-72, Correcties core.tls.314 & core.tls.315

Owned by Martin Wilmink
Last updated: Nov 27, 2023 by Casper van der HarstVersion comment
4 min read

1. core.tls.314



Voor authenticatie en autorisatie bij backchannel-verkeer op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKIoverheid-certificaat overleggen, en wel een G1-certificaat van een PKIoverheid TSP.

  • Private Root CA (per medio 2020 de standaard voor m2m)

    • Stamcertificaat

      • Staat der Nederlanden Private Root CA - G1

    • Domein Private Services, maar alleen de volgende:

      • Staat der Nederlanden Private Services CA - G1

      • KPN PKIoverheid Private Services CA - G1

      • QuoVadis PKIoverheid Private Services CA - G1

      • Digidentity BV PKIoverheid Private Services CA - G1

Uitzondering

Partijen die op 25-02-2022 al Deelnemer van MedMij waren en gebruikmaken van een publiek certificaat voor de beveiliging van hun backchannel-verkeer, kunnen dit certificaat tot uiterlijk 4 december 2022 gebruiken. Hierna is het gebruik van een privaat (G1) certificaat van PKIoverheid ook voor deze deelnemers verplicht voor de beveiliging van al het backchannel-verkeer en zal deze uitzondering verwijderd worden.

  • Stamcertificaat

    • Staat der Nederlanden EV Root CA

  • Intermediair Domein Server CA 2020

    • QuoVadis PKIoverheid Server CA 2020

    • Digidentity PKIoverheid Server CA 2020

    • KPN PKIoverheid Server CA 2020







Voor authenticatie en autorisatie bij backchannel-verkeer op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKIoverheid-certificaat overleggen, en wel een G1-certificaat van een PKIoverheid TSP.

  • Private Root CA (per medio 2020 de standaard voor m2m)

    • Stamcertificaat

      • Staat der Nederlanden Private Root CA - G1

    • Domein Private Services, maar alleen de volgende:

      • Staat der Nederlanden Private Services CA - G1

      • KPN PKIoverheid Private Services CA - G1

      • QuoVadis PKIoverheid Private Services CA - G1

      • Digidentity BV PKIoverheid Private Services CA - G1

Uitzondering

Partijen die op 25-02-2022 al Deelnemer van MedMij waren en gebruikmaken van een publiek certificaat voor de beveiliging van hun backchannel-verkeer, kunnen dit certificaat tot uiterlijk 4 december 2022 gebruiken. Hierna is het gebruik van een privaat (G1) certificaat van PKIoverheid ook voor deze deelnemers verplicht voor de beveiliging van al het backchannel-verkeer en zal deze uitzondering verwijderd worden.

  • Stamcertificaat

    • Staat der Nederlanden EV Root CA

  • Intermediair Domein Server CA 2020

    • QuoVadis PKIoverheid Server CA 2020

    • Digidentity PKIoverheid Server CA 2020

    • KPN PKIoverheid Server CA 2020





2. core.tls.315



Voor authenticatie en autorisatie bij frontchannel-verkeer tussen productieomgevingen op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKI-certificaat overleggen dat aan de volgende eisen voldoet:

  1. De vereisten aan de certificaat leverancier voor PKI certificaten zijn:

    1. De meest up-to-date WebTrust audit is succesvol doorlopen en de certificering is geldig voor de ‘Certificatie Authority’ op iedere schakel in de keten van ondertekeningen tot en met de uitgifte processen.

  2. De technische vereisten zijn:

    1. De ‘private key’ moet worden gegenereerd op het doelplatform waar het PKI certificaat wordt toegepast.

    2. Bij gebruik van publieke PKI certificaten is de toepassing van ‘Certification Authority Authorization Resource Record’ vereist.

    3. Het toepassen van DNSSEC op de gebruikte domeinen is vereist onder de voorwaarden van pas-toe-of-leg-uit. Strengere eisen kunnen worden gesteld vanuit aanvullende kaders, zoals aansluitvoorwaarden.

    4. Het gebruik van wildcard certificaten wordt niet toegestaan.

    5. Het gebruik van ‘multi-domain’-certificaten is toegestaan, onder de voorwaarde dat de eigenaar van het certificaat gelijk is aan de eigenaar van alle domeinen die opgenomen zijn in de Subject Alt Name DNS waarden van het certificaat.

  3. Uitgifte:

    1. Het zekerheidsuitgifte niveau moet minimaal op het OV-niveau (Organisation Validated) of met hogere zekerheid zijn uitgegeven voor publieke PKI webserver certificaten wanneer persoonsgegevens van bijzondere aard worden verwerkt. Dit is relevant voor de aanschaf van het certificaat en dit valt achteraf te controleren op het bestaan van Policy Object Identifiers (OIDs) die markeren welk type certificaat het betreft.

    2. De uitgever van de PKI certificaten is verantwoordingsplichtig aan de AVG en/of GDPR.

  4. Beheer:

    1. Veilig beheer moet zijn toegepast zoals toegelicht in ‘Factsheet Veilig beheer van digitale certificaten’.

Uitzondering

Partijen die op 25-02-2022 al Deelnemer van MedMij waren en gebruikmaken van een publiek certificaat voor de beveiliging van hun frontchannel-verkeer, kunnen dit certificaat tot uiterlijk 4 december 2022 gebruiken. Hierna is het gebruik van publiek certificaat dat voldoet aan de hierboven genoemde eisen verplicht en zal deze uitzondering verwijderd worden.

  • Stamcertificaat

    • Staat der Nederlanden EV Root CA

  • Intermediair Domein Server CA 2020

    • QuoVadis PKIoverheid Server CA 2020

    • Digidentity PKIoverheid Server CA 2020

    • KPN PKIoverheid Server CA 2020







Voor authenticatie en autorisatie bij frontchannel-verkeer tussen productieomgevingen op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKI-certificaat overleggen dat aan de volgende eisen voldoet:

  1. De vereisten aan de certificaat leverancier voor PKI certificaten zijn:

    1. De meest up-to-date WebTrust audit is succesvol doorlopen en de certificering is geldig voor de ‘Certificatie Authority’ op iedere schakel in de keten van ondertekeningen tot en met de uitgifte processen.

  2. De technische vereisten zijn:

    1. De ‘private key’ moet worden gegenereerd op het doelplatform waar het PKI certificaat wordt toegepast.

    2. Bij gebruik van publieke PKI certificaten is de toepassing van ‘Certification Authority Authorization Resource Record’ vereist.

    3. Het toepassen van DNSSEC op de gebruikte domeinen is vereist onder de voorwaarden van pas-toe-of-leg-uit. Strengere eisen kunnen worden gesteld vanuit aanvullende kaders, zoals aansluitvoorwaarden.

    4. Het gebruik van wildcard certificaten wordt niet toegestaan.

    5. Het gebruik van ‘multi-domain’-certificaten is toegestaan, onder de voorwaarde dat de eigenaar van het certificaat gelijk is aan de eigenaar van alle domeinen die opgenomen zijn in de Subject Alt Name DNS waarden van het certificaat.

  3. Uitgifte:

    1. Het zekerheidsuitgifte niveau moet minimaal op het OV-niveau (Organisation Validated) of met hogere zekerheid zijn uitgegeven voor publieke PKI webserver certificaten wanneer persoonsgegevens van bijzondere aard worden verwerkt. Dit is relevant voor de aanschaf van het certificaat en dit valt achteraf te controleren op het bestaan van Policy Object Identifiers (OIDs) die markeren welk type certificaat het betreft.

    2. De uitgever van de PKI certificaten is verantwoordingsplichtig aan de AVG en/of GDPR.

  4. Beheer:

    1. Veilig beheer moet zijn toegepast zoals toegelicht in ‘Factsheet Veilig beheer van digitale certificaten’.