image

PKIoverheid-certificaten voortaan maximaal 2 jaar geldig

maandag 26 maart 2018, 09:59 door Redactie, 4 reacties

PKIoverheid-certificaten, die binnen de overheid worden gebruikt voor het beveiligen van websites en verbindingen tussen systemen, zoals bijvoorbeeld DigiD, zijn voortaan maximaal 2 jaar geldig. Dat meldt Logius, de overheidsdienst die verschillende ict-voorzieningen aan de overheid levert en beheert.

Tot op heden worden daar voornamelijk publiek vertrouwde PKIoverheid-certificaten voor gebruikt. Dit wil zeggen dat de bovenliggende root-certificaautautoriteit waaronder het certificaat is uitgegeven bij softwareontwikkelaars zoals Apple, Google, Microsoft en Mozilla is aangemeld. Zodra internetgebruikers met hun browser een website zoeken waarvan de verbinding met een PKIoverheid-certificaat is beveiligd, wordt hierdoor het certificaat automatisch vertrouwd.

In ruil daarvoor dient de eigenaar van de root-certificaatautoriteit (Logius) te voldoen aan de eisen van de softwareleveranciers. Logius laat weten dat het eisenpakket van softwareleveranciers de afgelopen jaren is uitgebreid en ook steeds zwaarder wordt. Het gaat dan met name om eisen voor TLS-certificaten. "Tot op heden waren de nieuwe vereisten vanuit de softwareleveranciers niet of nauwelijks van invloed op de daadwerkelijke eindgebruikers van certificaten", merkt Logius op.

Per 1 maart is dat echter veranderd. Zo bedraagt de maximale geldigheidsduur van certificaten voortaan 2 jaar (825 dagen, inclusief marge). Dit houdt in dat alle nieuw aangevraagde G2 en G3 PKIoverheid-certificaten vanaf die datum nog maar 2 jaar geldig zijn. Iets wat voor zowel Logius als afnemers voor extra administratieve en technische lasten zorgt, aldus de overheidsdienst. Logius verwacht dat de maximale geldigheidsduur op termijn werden zal worden ingekort.

Reacties (4)
26-03-2018, 11:22 door Anoniem
Dit zoegt alleen voor noemenswaardig toegenomen lasten als je zaken niet op orde hebt. Je mag aannemen dat op zo’n schaal de uitgifte van certificaten geautomatiseerd gebeurd en de administratie ervan al helemaal.

De technische lasten beperken zich tot aanpassen van policies waarbij de geldigheid verlaagd wordt of nieuwe eisen worden opgenomen (bijv 4096 bit keys ipv 2048).

Als het allemaal handwerk is dan wordt het een ander verhaal, maar dat zou wel typerend zijn voor onze overheid op IT gebied
26-03-2018, 11:43 door Anoniem
Door Anoniem: Dit zoegt alleen voor noemenswaardig toegenomen lasten als je zaken niet op orde hebt. Je mag aannemen dat op zo’n schaal de uitgifte van certificaten geautomatiseerd gebeurd en de administratie ervan al helemaal.
Ik kan me ook voorstellen dat men bij overheidscertificaten niet alleen op automatische procedures vertrouwt maar juist bewust een deel van de verificatie via kanalen laat lopen waar hackers geen vat op krijgen omdat ze geheel offline zijn. Dingen volautomatisch doen is niet in elke situatie de beste oplossing.
27-03-2018, 13:01 door Anoniem
Door Anoniem: Je mag aannemen dat op zo’n schaal de uitgifte van certificaten geautomatiseerd gebeurd en de administratie ervan al helemaal

Deze certificaten worden gebruikt bij de overheid in de breedste zin van het woord, maar ook alle sites die gebruik maken van DigiD. Dus gemeenten, pensioenfondsen, zorgverzekeraars etc.

En dat zijn allemaal verschillende hosters/toeleveranciers. Dus reken er maar niet op, dat dit soort zaken allemaal automatisch gaan.
27-03-2018, 14:05 door Anoniem
Door Anoniem:
Door Anoniem: Dit zoegt alleen voor noemenswaardig toegenomen lasten als je zaken niet op orde hebt. Je mag aannemen dat op zo’n schaal de uitgifte van certificaten geautomatiseerd gebeurd en de administratie ervan al helemaal.
Ik kan me ook voorstellen dat men bij overheidscertificaten niet alleen op automatische procedures vertrouwt maar juist bewust een deel van de verificatie via kanalen laat lopen waar hackers geen vat op krijgen omdat ze geheel offline zijn. Dingen volautomatisch doen is niet in elke situatie de beste oplossing.

Klopt, natte handtekening en telefonische verificatie voordat er ook maar een bitje onze kant op komt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.