PKIoverheid-certificaten, die binnen de overheid worden gebruikt voor het beveiligen van websites en verbindingen tussen systemen, zoals bijvoorbeeld DigiD, zijn voortaan maximaal 2 jaar geldig. Dat meldt Logius, de overheidsdienst die verschillende ict-voorzieningen aan de overheid levert en beheert.

Tot op heden worden daar voornamelijk publiek vertrouwde PKIoverheid-certificaten voor gebruikt. Dit wil zeggen dat de bovenliggende root-certificaautautoriteit waaronder het certificaat is uitgegeven bij softwareontwikkelaars zoals Apple, Google, Microsoft en Mozilla is aangemeld. Zodra internetgebruikers met hun browser een website zoeken waarvan de verbinding met een PKIoverheid-certificaat is beveiligd, wordt hierdoor het certificaat automatisch vertrouwd.

In ruil daarvoor dient de eigenaar van de root-certificaatautoriteit (Logius) te voldoen aan de eisen van de softwareleveranciers. Logius laat weten dat het eisenpakket van softwareleveranciers de afgelopen jaren is uitgebreid en ook steeds zwaarder wordt. Het gaat dan met name om eisen voor TLS-certificaten. "Tot op heden waren de nieuwe vereisten vanuit de softwareleveranciers niet of nauwelijks van invloed op de daadwerkelijke eindgebruikers van certificaten", merkt Logius op.

Per 1 maart is dat echter veranderd. Zo bedraagt de maximale geldigheidsduur van certificaten voortaan 2 jaar (825 dagen, inclusief marge). Dit houdt in dat alle nieuw aangevraagde G2 en G3 PKIoverheid-certificaten vanaf die datum nog maar 2 jaar geldig zijn. Iets wat voor zowel Logius als afnemers voor extra administratieve en technische lasten zorgt, aldus de overheidsdienst. Logius verwacht dat de maximale geldigheidsduur op termijn werden zal worden ingekort.