De Nederlandse overheid stopt met de uitgifte van publiek vertrouwde TLS-certificaten die websites gebruiken voor identificatie en het opzetten van een beveiligde verbinding. Dat heeft demissionair staatssecretaris Knops van Binnenlandse Zaken besloten. Aanleiding zijn verschillende incidenten met certificaten die onder het PKIoverheid-stelsel zijn uitgegeven en dat de overheid maar met moeite kan voldoen aan de steeds hogere eisen die browserleveranciers aan de uitgifte van certificaten stellen.
Deelnemers aan het PKIoverheid-stelsel geven digitale certificaten uit aan overheidsorganisaties en bijvoorbeeld nutsbedrijven, zoals vervoerders en energieleveranciers, maar ook aan ondernemers of zorgaanbieders. Die gebruiken de certificaten voor hun websites. De Nederlandse overheid is op dit moment het enige EU-land dat publiek vertrouwde TLS-certificaten uitgeeft, in andere landen wordt dit gedaan door bedrijven.
Vanwege incidenten die zich in 2019 en 2020 met uitgegeven TLS-certificaten voordeden werden vorig jaar zomer alle publiek vertrouwde TLS-certificaten voor websites onder een nieuw intermediate CA-certificaat uitgegeven, met de naam Staat der Nederlanden Domein Server CA 2020. Dit certificaat verloopt op 6 december 2022. Dit houdt in dat onder dit certificaat tot begin december 2021 nog PKIoverheid TLS-certificaten met een geldigheid van een jaar uitgegeven kunnen worden.
Naast de verschillende incidenten zijn ook de regels die browserleveranciers stellen reden om met het uitgeven van TLS-certificaten te stoppen. Browserleveranciers zoal Google en Mozilla bepalen waar uitgegeven certificaten aan moeten voldoen. Volgens Logius, ict-dienstverlener van de overheid, heeft diezelfde overheid weinig tot geen grip op de browserpartijen en kan maar met moeite voldoen aan de steeds hogere eisen die zij aan certificaatuitgifte stellen.
Tevens is de uitgifte van TLS-certificaten binnen het PKIoverheid-stelsel ooit begonnen als beveiligingsmaatregel voor websites. "Webbrowsers en de beveiliging van websites stonden destijds nog in de kinderschoenen en de overheid liep voorop in het beveiligen van websites", merkt Logius op. Inmiddels hebben browsers grote stappen gemaakt en kunnen bedrijven goedkoper en net zo goed certificaten uitgeven. "Daarom is het uitgeven van publiek vertrouwde TLS-certificaten onder de vlag van PKIoverheid niet meer noodzakelijk", aldus de ict-dienstverlener. De overige dienstverlening die onder PKIoverheid valt, wordt gewoon doorgezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.