Management
Werk aan de winkel: webcertificaten van honderden overheden verlopen maandag
Digitale dienstverlening valt mogelijk uit.
Digitale dienstverlening valt mogelijk uit.
Honderden overheidsorganisaties moeten dit weekend aan de bak: maandag stopt de uitgave van publiek vertrouwde webserver certificaten. Digitale dienstverlening van de overheid valt mogelijk uit als er geen actie wordt ondernomen.
Het PKIoverheid-certificaat fungeert bij het bezoeken van een overheidswebsite min of meer als een digitaal paspoort. Certificaten worden gebruikt bij onder meer het bezoeken van beveiligde websites, of het controleren van de elektronische ondertekening. Ook worden webcertificaten gebruikt bij bekijken van versleutelde informatie.
Overheden die certificaten van PKIoverheid gebruiken voor een verbinding tussen een webbrowser en website worden al maanden gesommeerd om over te stappen naar een marktpartij. Toch is lang niet iedereen in actie gekomen: op vrijdag 2 december gebruiken nog 330 organisaties een PKI Overheid certificaat, zo blijkt uit een inventarisatie die CISO Oscar Koeroo van het ministerie van VWS op Twitter deelt.
Dienstverlening valt uit
Wie certificaten van bedrijfsprocessen niet veilig stelt, is niet zeker van continuïteit van dienstverlening. Diverse organisaties binnen Defensie, de politie en de rijksoverheid moeten hun certificaten nog vervangen, zo wordt duidelijk uit de lijst. De certificaten van PKIoverheid worden uitgefaseerd omdat uit een evaluatie duidelijk werd dat de Nederlandse overheid als enige EU-land publiek vertrouwde certificaten uitgeeft, waar andere landen dit door private ondernemingen laten doen.
Update: 401 certificaten online met een PKI Overheid certificaat.
— Oscar Koeroo (@okoeroo) November 30, 2022
Nu gesorteerd op Organisatie in de eerste kolom! Handiger zoeken voor iedereen. Er gaat vermoedelijk her en der nog wel wat stuk...https://t.co/aAF40GzXpV
Regime van browserpartijen
De publiek vertrouwde PKIoverheid webserver certificaten vallen onder het regime van de grote browserpartijen die regels opleggen waaraan deze publiek vertrouwde (SSL/TSL) certificaten moeten voldoen. De overheid heeft er weinig grip op en kan maar met moeite voldoen aan de groeiende eisen die zij aan certificaatuitgifte stellen, zo meldde Logius eerder hierover.
Overheden die certificaten willen vervangen worden verzocht om contact op te nemen met hun leverancier van PKIoverheid-certificaten voor advies. Er is door het NCSC een factsheet opgesteld met zaken waar op gelet dient te worden.
Omdat iedereen in de put springt, springt NL ook in de put.
Paspoorten en NL-ID-kaarten en rijbewijzen laat je toch ook niet door private partijen uitgeven?
Al jaren wacht men bij de overheid te lang met het op tijd vervangen van verlopen certificaten en is er (nog steeds) geen registraratie op vervaldatum of wordt deze niet onderhouden en/of bekeken. Pas als het fout gaat (de boel werkt niet meer) gaat men in paniek aan de slag. Lees nu dit artikel weer en het verbaast mij niet dat het nu wéér fout zal gaan. Leren doet de overheid blijkbaar niet. Hardleers zijn wel.
Goed dat PKI-overheid certificaten stoppen voor websites. Domain validated certificaten is prima voor webbrowsers en kan met gratis letsencrypt.
Voor andere usecases bestaat pki-overheid nog steeds.
Niemand kan een fake certificaat aanvragen als hij geen controle heeft over de DNS.
Blijft gewoon jammer dat dit ophoudt. De extra controles die men destijds aan PKI Overheid certificaten heeft gehangen, gaven je als burger of vertrouwende partij wel een stuk extra garantie dat je met een vertrouwde overheidspartij te maken had, en niet met een phisher of dergelijke. Want iedereen kan bij Entrust of Digicert, of LetsEncrypt een certificaat aanvragen voor een fake overheidspagina, wat bij PKI Overheid niet kon.
De uitgevende CA's waren allemaal uitbesteed aan CSP's (Certificaat Service Providers) zoals KPN en QuaVadis, en daar zat de grootste noodzaak om hun CA's aan de eisen van CA Browser Forum te blijven aanpasssen. Aanpassingen aan de Root CA worden veel minder vaak vereist, en dan nog is er ruimschoots tijd om aan die eisen te gaan voldoen.