Werk aan de winkel: webcertificaten van honderden overheden verlopen maandag

Het PKIoverheid-certificaat fungeert bij het bezoeken van een overheidswebsite min of meer als een digitaal paspoort. Certificaten worden gebruikt bij onder meer het bezoeken van beveiligde websites, of het controleren van de elektronische ondertekening. Ook worden webcertificaten gebruikt bij bekijken van versleutelde informatie.

Overheden die certificaten van PKIoverheid gebruiken voor een verbinding tussen een webbrowser en website worden al maanden gesommeerd om over te stappen naar een marktpartij. Toch is lang niet iedereen in actie gekomen: op vrijdag 2 december gebruiken nog 330 organisaties een PKI Overheid certificaat, zo blijkt uit een inventarisatie die CISO Oscar Koeroo van het ministerie van VWS op Twitter deelt.

Dienstverlening valt uit

Wie certificaten van bedrijfsprocessen niet veilig stelt, is niet zeker van continuïteit van dienstverlening. Diverse organisaties binnen Defensie, de politie en de rijksoverheid moeten hun certificaten nog vervangen, zo wordt duidelijk uit de lijst. De certificaten van PKIoverheid worden uitgefaseerd omdat uit een evaluatie duidelijk werd dat de Nederlandse overheid als enige EU-land publiek vertrouwde certificaten uitgeeft, waar andere landen dit door private ondernemingen laten doen.

Regime van browserpartijen

De publiek vertrouwde PKIoverheid webserver certificaten vallen onder het regime van de grote browserpartijen die regels opleggen waaraan deze publiek vertrouwde (SSL/TSL) certificaten moeten voldoen. De overheid heeft er weinig grip op en kan maar met moeite voldoen aan de groeiende eisen die zij aan certificaatuitgifte stellen, zo meldde Logius eerder hierover.

Overheden die certificaten willen vervangen worden verzocht om contact op te nemen met hun leverancier van PKIoverheid-certificaten voor advies. Er is door het NCSC een factsheet opgesteld met zaken waar op gelet dient te worden.