PKIoverheid stopt met ssl-certificaten; wat nu?
Logius, de ict-beheerorganisatie van de overheid, stopt nog dit jaar met het aanbieden van publiek vertrouwde ssl-certificaten. Die worden gebruikt door overheidsorganisaties, in de zorg en door energiebedrijven en vervoerders, voor website-identificatie en het opzetten van een beveiligde transport layer security (tls)-verbinding. Deze organisaties moeten vanaf eind dit jaar dus op zoek naar een alternatief. Wat zijn de mogelijkheden?
PKIoverheid is de ‘public key infrastructure’ (pki) van de Nederlandse overheid, dit is een afsprakenstelstel voor het uitgeven en beheren van digitale certificaten. PKIoverheid wordt beheerd door Logius. De PKIoverheid-dienstverlening omvat het leveren van digitale certificaten voor verschillende toepassingen, zoals niet-publieke certificaten voor de beveiliging tussen systemen zoals Digipoort, en digitale handtekeningen op smartcards voor het veilig inloggen op systemen en het plaatsen van een elektronische handtekening op documenten. Een andere bekende toepassing zijn de zogenoemde beroepscertificaten. Dit zijn digitale handtekeningen, gebruikt door erkende beroepsbeoefenaars zoals accountants, deurwaarders en notarissen.
Daarnaast worden er door browsers vertrouwde ssl-certificaten uitgegeven voor de beveiliging van publieke websites, bijvoorbeeld digitale loketten, openbare internetdiensten en webshops. Ook de veelgebruikte website digid.nl maakt gebruikt van dit type certificaat. De certificaten worden niet uitgeven door Logius zelf, maar door PKIoverheid gecertificeerde partijen. Denk daarbij aan KPN en Digidentity.
Wat wijzigt er precies en waarom?
De PKIoverheid-dienstverlening wordt gecontinueerd, alleen de uitgifte van de publiek vertrouwde ssl- certificaten stopt eind dit jaar. Het huidige root-certificaat, de ‘Staat der Nederlanden EV Root CA’ verloopt per 8 december 2022, en besloten is om deze niet te vervangen. De uitgevende intermediate certificaten verlopen per 6 december 2022.
Logius zelf geeft meerdere redenen om te stoppen met dit onderdeel. Er is ooit gestart met deze dienstverlening om de beveiliging van websites te stimuleren toen deze nog in de kinderschoenen stond. Ondertussen hebben diverse marktpartijen dit dermate goed opgepakt, dat zij dit met een volledige focus beter en voordeliger kunnen dan Logius. In ons omringende landen is het al langer gangbaar dat commerciële certificate authorities (CA) alle certificaten leveren aan publieke instanties.
In 2019 en 2020 waren er bovendien een aantal incidenten op het gebied van de publieke ssl (secure sockets layer)-certificaten, waardoor het nodig was deze certificaten te vernieuwen onder een ander root-certificaat om de veiligheid te waarborgen. Dit versterkte het uitgangspunt dat gespecialiseerde marktpartijen deze dienstverlening inmiddels beter kunnen uitvoeren.
Wat zijn de alternatieven?
Tot 6 december dit jaar is het nog mogelijk PKIoverheid SSL-certificaten aan te vragen met een looptijd van een jaar bij de bekende leveranciers. Na deze datum zullen instanties moeten overstappen naar een ander type certificaat. Logischerwijs vervalt hiermee de verplichting om voor bepaalde toepassingen PKIoverheid-certificaten te gebruiken.
Maar wat is nu een goed alternatief? Commerciële CA’s geven certificaten uit met verschillende validatieniveaus, waarbij de controles voor uitgifte verschillen. Extended Validation SSL is het hoogste validatieniveau. Hiervan zijn de controles en hiermee de betrouwbaarheid vergelijkbaar met PKIoverheid SSL. In vergelijking met PKIoverheid SSL hebben EV-certifcaten een aantal voordelen: het aanvraagproces is aanzienlijk eenvoudiger en volledig online af te handelen, de levertijd is meestal een dag en de prijs is een stuk lager.
Een kanttekening hierbij is wel dat Logius het NCSC (Nationaal Cyber Security Centrum) om een advies heeft gevraagd over het beste alternatief voor publiek vertrouwde PKIoverheid certificaten. Op dit moment is dit advies nog niet bekend, maar de kans bestaat dat zij het relatief nieuwe ‘Qualified Website Authentication Certificate’ (QWAC) als beste alternatief aanwijzen. Deze certificaten worden onder de eIDAS regulering uitgegeven door gekwalificeerde certificaat-uitgevers. Vervolgens mogen overheidsorganisaties zich het hoofd gaan breken over wat nu werkelijk de beste optie is voor hun specifieke doel. Wordt het EV of QWAC?
