Plan voor vervanging servercertificaten

Eerder heeft het NCSC aan u gecommuniceerd dat bepaalde certificaten, die voor de digitale dienstverlening van de Nederlandse overheid worden gebruikt, niet voldoen aan strengere, internationaal gestelde uitgifte-eisen en dus moeten worden vervangen. Hier volgt een update .

De certificaten worden uitgegeven binnen de zogenaamde 'Public Key Infrastructure': PKI overheid. De dienst Logius van het ministerie van BZK is toezichthouder op dit stelsel.

Plan voor vervanging

Logius heeft een plan opgesteld voor het vervangen van de certificaten die niet voldoen aan de strengere uitleg van de uitgifte-eisen. In het vervangingsplan wordt uitgegaan van 11 tussenliggende en ongeveer 3900 onderliggende certificaten. Het vervangen van de certificaten neemt maximaal 8 maanden in beslag.

Het uitgangspunt van het plan is dat alleen certificaten die gebruikt worden voor (publiek) webverkeer vervangen worden. Certificaten die niet voor (publiek) webverkeer gebruikt worden (inclusief persoonsgebonden certificaten), worden niet vervangen. Het gaat dan bijvoorbeeld om certificaten voor interne omgevingen of certificaten die gebruikt worden voor machine tot machine communicatie.

Voor het vervangingsplan wordt momenteel in internationaal verband draagvlak gezocht.

Geen veiligheidsprobleem

Er is geen sprake van een veiligheidsprobleem. Het niet voldoen aan de aangescherpte certificatie-eisen betekent niet dat het gebruik van een digitale toepassing met dit certificaat (zoals een website) onveilig is.

Moet u iets doen?

Indien uw certificaat niet voldoet aan de strengere uitgifte-eisen en moet worden vervangen, dan neemt uw certificatieautoriteit contact met uw organisatie op. Dit is conform de gebruikelijke gang van zaken. Uw certificatieautoriteit is de leverancier van uw certificaten.

NCSC nauw betrokken

Het NCSC is nauw betrokken bij de vervangingsstrategie en adviseert Logius bij de te nemen vervolgstappen.

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig