Management

Governance
overheid

Werk aan de winkel: webcertificaten van honderden overheden verlopen maandag

Digitale dienstverlening valt mogelijk uit. 

2 december 2022

Digitale dienstverlening valt mogelijk uit. 

Honderden overheidsorganisaties moeten dit weekend aan de bak: maandag stopt de uitgave van publiek vertrouwde webserver certificaten. Digitale dienstverlening van de overheid valt mogelijk uit als er geen actie wordt ondernomen.

Het PKIoverheid-certificaat fungeert bij het bezoeken van een overheidswebsite min of meer als een digitaal paspoort. Certificaten worden gebruikt bij onder meer het bezoeken van beveiligde websites, of het controleren van de elektronische ondertekening. Ook worden webcertificaten gebruikt bij bekijken van versleutelde informatie.

Overheden die certificaten van PKIoverheid gebruiken voor een verbinding tussen een webbrowser en website worden al maanden gesommeerd om over te stappen naar een marktpartij. Toch is lang niet iedereen in actie gekomen: op vrijdag 2 december gebruiken nog 330 organisaties een PKI Overheid certificaat, zo blijkt uit een inventarisatie die CISO Oscar Koeroo van het ministerie van VWS op Twitter deelt.

Dienstverlening valt uit

Wie certificaten van bedrijfsprocessen niet veilig stelt, is niet zeker van continuïteit van dienstverlening. Diverse organisaties binnen Defensie, de politie en de rijksoverheid moeten hun certificaten nog vervangen, zo wordt duidelijk uit de lijst. De certificaten van PKIoverheid worden uitgefaseerd omdat uit een evaluatie duidelijk werd dat de Nederlandse overheid als enige EU-land publiek vertrouwde certificaten uitgeeft, waar andere landen dit door private ondernemingen laten doen.

Regime van browserpartijen

De publiek vertrouwde PKIoverheid webserver certificaten vallen onder het regime van de grote browserpartijen die regels opleggen waaraan deze publiek vertrouwde (SSL/TSL) certificaten moeten voldoen. De overheid heeft er weinig grip op en kan maar met moeite voldoen aan de groeiende eisen die zij aan certificaatuitgifte stellen, zo meldde Logius eerder hierover.

Overheden die certificaten willen vervangen worden verzocht om contact op te nemen met hun leverancier van PKIoverheid-certificaten voor advies. Er is door het NCSC een factsheet opgesteld met zaken waar op gelet dient te worden.

4
Reacties
Ir. JGM van der Zanden 10 december 2022 12:47

Omdat iedereen in de put springt, springt NL ook in de put.

Paspoorten en NL-ID-kaarten en rijbewijzen laat je toch ook niet door private partijen uitgeven?

Joost van der Eijk 10 december 2022 11:09

Al jaren wacht men bij de overheid te lang met het op tijd vervangen van verlopen certificaten en is er (nog steeds) geen registraratie op vervaldatum of wordt deze niet onderhouden en/of bekeken. Pas als het fout gaat (de boel werkt niet meer) gaat men in paniek aan de slag. Lees nu dit artikel weer en het verbaast mij niet dat het nu wéér fout zal gaan. Leren doet de overheid blijkbaar niet. Hardleers zijn wel.

Arjan2 09 december 2022 09:59

Goed dat PKI-overheid certificaten stoppen voor websites. Domain validated certificaten is prima voor webbrowsers en kan met gratis letsencrypt.
Voor andere usecases bestaat pki-overheid nog steeds.

Niemand kan een fake certificaat aanvragen als hij geen controle heeft over de DNS.

Erwin1 05 december 2022 16:02

Blijft gewoon jammer dat dit ophoudt. De extra controles die men destijds aan PKI Overheid certificaten heeft gehangen, gaven je als burger of vertrouwende partij wel een stuk extra garantie dat je met een vertrouwde overheidspartij te maken had, en niet met een phisher of dergelijke. Want iedereen kan bij Entrust of Digicert, of LetsEncrypt een certificaat aanvragen voor een fake overheidspagina, wat bij PKI Overheid niet kon.
De uitgevende CA's waren allemaal uitbesteed aan CSP's (Certificaat Service Providers) zoals KPN en QuaVadis, en daar zat de grootste noodzaak om hun CA's aan de eisen van CA Browser Forum te blijven aanpasssen. Aanpassingen aan de Root CA worden veel minder vaak vereist, en dan nog is er ruimschoots tijd om aan die eisen te gaan voldoen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.