PKIoverheid-certificaten voortaan maximaal 2 jaar geldig
PKIoverheid-certificaten, die binnen de overheid worden gebruikt voor het beveiligen van websites en verbindingen tussen systemen, zoals bijvoorbeeld DigiD, zijn voortaan maximaal 2 jaar geldig. Dat meldt Logius, de overheidsdienst die verschillende ict-voorzieningen aan de overheid levert en beheert.
Tot op heden worden daar voornamelijk publiek vertrouwde PKIoverheid-certificaten voor gebruikt. Dit wil zeggen dat de bovenliggende root-certificaautautoriteit waaronder het certificaat is uitgegeven bij softwareontwikkelaars zoals Apple, Google, Microsoft en Mozilla is aangemeld. Zodra internetgebruikers met hun browser een website zoeken waarvan de verbinding met een PKIoverheid-certificaat is beveiligd, wordt hierdoor het certificaat automatisch vertrouwd.
In ruil daarvoor dient de eigenaar van de root-certificaatautoriteit (Logius) te voldoen aan de eisen van de softwareleveranciers. Logius laat weten dat het eisenpakket van softwareleveranciers de afgelopen jaren is uitgebreid en ook steeds zwaarder wordt. Het gaat dan met name om eisen voor TLS-certificaten. "Tot op heden waren de nieuwe vereisten vanuit de softwareleveranciers niet of nauwelijks van invloed op de daadwerkelijke eindgebruikers van certificaten", merkt Logius op.
Per 1 maart is dat echter veranderd. Zo bedraagt de maximale geldigheidsduur van certificaten voortaan 2 jaar (825 dagen, inclusief marge). Dit houdt in dat alle nieuw aangevraagde G2 en G3 PKIoverheid-certificaten vanaf die datum nog maar 2 jaar geldig zijn. Iets wat voor zowel Logius als afnemers voor extra administratieve en technische lasten zorgt, aldus de overheidsdienst. Logius verwacht dat de maximale geldigheidsduur op termijn werden zal worden ingekort.
De technische lasten beperken zich tot aanpassen van policies waarbij de geldigheid verlaagd wordt of nieuwe eisen worden opgenomen (bijv 4096 bit keys ipv 2048).
Als het allemaal handwerk is dan wordt het een ander verhaal, maar dat zou wel typerend zijn voor onze overheid op IT gebied
Deze certificaten worden gebruikt bij de overheid in de breedste zin van het woord, maar ook alle sites die gebruik maken van DigiD. Dus gemeenten, pensioenfondsen, zorgverzekeraars etc.
En dat zijn allemaal verschillende hosters/toeleveranciers. Dus reken er maar niet op, dat dit soort zaken allemaal automatisch gaan.
Klopt, natte handtekening en telefonische verificatie voordat er ook maar een bitje onze kant op komt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
