PKI certificaten
U weet: zonder een PKIoverheid certificaat staat uw praktijk stil. Of u nu voor het eerst een certificaat aanvraagt voor uw SBR-rapportages en aangiftes of uw huidige certificaat moet vernieuwen, u zoekt geen administratieve rompslomp en IT vragen. U zoekt zekerheid, gemak en snelheid. Maar dan komt u terecht in een web van PKI–certificaat aanbieders en wie past dan het best bij uw behoeften? Kiest u voor een grote producent zoals DigiCert+QuoVadis, KPN en Digidentity, of voor een specialist die de aanvraag en implementatie voor, en samen met u, kan doen? In dit artikel vergelijken we de “groothandel” met de “speciaalzaak” onder de PKI–certificaat aanbieders.
De PKI-certificaat aanbieders: Groothandel vs. Speciaalzaak
Het landschap van certificaataanbieders valt uiteen in twee categorieën. Het begrijpen van dit verschil is cruciaal voor uw keuze.
1. De “Groothandel” (DigiCert+QuoVadis, KPN,Digidentity)
Grote PKI-certificaat aanbieders zoals DigiCert+QuoVadis, KPN en Digidentity hebben een breed aanbod van diensten en producten. PKIoverheid certificaten is daar één product van.
- De focus: Volume, aanbestedingen en automatisering.
- Het voordeel: Als u veel verschillende producten nodig heeft, kunt u dit goed combineren bij één leverancier. Hier kunt u vaak zonder tussenkomst van een contactpersoon uw producten afnemen. Zeker als u ‘IT-handig’ bent.
- Het nadeel: Omdat een PKIoverheid certificaat één van de vele producten is voor een grote partij, een bijproduct naast bijvoorbeeld grootschalige securityoplossingen, ontbreekt vaak de diepgaande vakkennis over uw situatie of software. Daardoor kunt u bij een complexe situatie bij een groothandel nog wel eens vastlopen.
- Service: Omdat het aanvraagproces (grotendeels) geautomatiseerd is, zult u vaak stuiten op een ‘bekijk de veelgestelde vragen’, ‘vraag het onze AI chatbot’ of ‘stuur uw bericht in via dit formulier’. Lange wachttijden zijn hier, door de grote hoeveelheid producten en dus klanten, helaas geen uitzondering.
2. De “Speciaalzaak” (PKIpartners)
PKIpartners positioneert zich sinds 2012 als de vakkundige “speciaalzaak”, begonnen als gevolg van Diginotar en BAPI; toen het aanvragen van een Digipoort/PKIo certificaat enkel en alleen op papier kon met een medewerker die letterlijk langskwam. Het aanvraagproces is inmiddels makkelijker geworden bij PKIpartners, maar die kernwaarden van persoonlijke aandacht en brede vakkennis zijn onveranderd en onverminderd.
- De focus: Persoonlijke begeleiding en 100% focus op PKIoverheid en beroepscertificaten.
- Het voordeel: Dit is onze specialiteit. We weten precies waarom dat certificaat er nú moet zijn, wat er gevraagd wordt, hoe het moet werken en hoe het ingelezen moet worden in uw software. Plus, we hebben het antwoord op de meest complexe vragen.
- Het nadeel: We zijn een speciaalzaak, dus we kunnen u helaas geen tv- en internetabonnement erbij bieden 😉
- Service: Een goed bereikbare helpdesk, via mail en telefonisch! Plus een “niet goed, geld terug”-garantie.
Vergelijkingstabel: PKI-certificaat aanbieders 2026
Hieronder ziet u de belangrijkste verschillen tussen grote PKI-certificaat aanbieders in kaart gebracht, zodat u een weloverwogen keuze kunt maken.
| Kenmerk | PKIpartners | KPN | Digicert+Quovadis | Digidentity |
| Focus van de aanbieder | Nederland, PKI, PKIoverheid, eHerkenning en Certificate Management | Europees, identity producten breed, Security ,eHerkenning, PKIoverheid, Verzekeraar, Internet & TV. | Mondiaal alle voorkomende certificaten | Europees, identity producten breed, eHerkenning, PKIoverheid, Verzekeraar, KYC |
| Geldigheid PKIoverheid certificaten | 1, 2, 3 jaar | 2, 3 jaar | 2, 3 jaar | 1, 2, 3 jaar |
| PKIoverheid Digipoort certificaten | Ja | Ja | Ja | Ja |
PKIoverheid beroeps gebonden certificaten
(QCert for ESig) | Ja | Ja | Ja | Ja |
PKIoverheid persoonsgebonden organisatie certificaten
(QCert for ESig) | Ja | Ja | Ja | Nee
|
| Gekwalificeerde zegels (QCert for ESeal) | Ja | Ja | Ja | Ja |
| Garantie & ondersteuning | Onbeperkt | Beperkt na aankoop | Beperkt na aankoop | Beperkt na aankoop |
| Helpdesk | Telefonische helpdesk of e-mail contact.
Mogelijkheid ondersteuning op afstand | Online, telefonisch beperkt mogelijk. | Online, telefonisch beperkt mogelijk. | Online, telefonisch beperkt mogelijk. |
| Dienstverlening
uitbesteden beheer PKIoverheid certiifcaten | Ja | Nee | Nee | Nee |
Drager gekwalificeerde elektronische handtekeningen
(QCert for ESig) | USB-stick, smartcard en Smartphone | USB-stick, smartcard en Smartphone | USB-stick, Smartphone | Smartphone |
| Workshops, onderwijs en voorlichting | Ja | Nee | Nee | Nee |
| Afhandeling van bestelling en begeleiding | Naar keuze digitaal, schermdeling of persoonlijk op locatie. | Primair digitaal | Primair digitaal | Primair digitaal |
| Ondersteuning in persoon | Naar keuze digitaal, telefonisch of persoonlijk op locatie | Primair digitaal | Primair digitaal | Primair digitaal |
| TEST certificaten PKIoverheid voor softwareontwikkelaars | G1, G3, G4 | G1 en G3 | Nee | Nee |
| Gekwalificeerde Website certificaten (QWAC) | Ja | Nee | Ja | Nee |
| Website certificaten leverbaar | OV, EV, QWAC | OV | DV, OV, EV, QWAC | Nee |
| Reviewscore | 9,4/10 (2.141 reviews) | Onbekend | 2,4 (29 reviews) | 3,0 (652 reviews) |
| | | | |
Waarom PKIpartners de “Coolblue van de PKI-certificaat aanbieders” is
Bij het aanschaffen van een complex technisch product, met een zeer strikt aanvraagproces, zoals een PKIoverheid-certificaat, wilt u de zekerheid dat het werkt. Wij hanteren daarom de Coolblue-mentaliteit:
- Alles voor een glimlach (en een werkend certificaat): Wij begeleiden u bij elke stap van de aanvraag en de implementatie. Ergens nog vragen over? U kunt ons altijd bellen, ook nadat het certificaat al lang geleverd is; zo vaak als nodig is.
- Niet goed? Geld terug: Wij zijn de enige in de markt die deze garantie durven te geven. zijn pas tevreden als uw certificaat is ingelezen in de applicatie en klaar is voor gebruik
- Transparantie door reviews: Wij zijn enorm trots op onze 9,4 score (uit 2100+reviews). Dit is het resultaat van onze focus op service en dat zien we terug in de positieve woorden van onze klanten.
Wist u dat? Bij PKIpartners zijn PKIoverheid certificaten ons vak. Wij buigen ons graag over de ingewikkelde maatschap structuur of spoedaanvragen. We zijn gesprekpartner voor alle certificiaatproducenten, Belastingdienst, KVK, NBA, overheden en Logius.
Conclusie: Wilt u automatisering of persoonlijke service?
Voor een standaardproduct, zoals een eHerkenning3 kunt u prima bij een geautomatiseerd aanvraagproces terecht. Maar in de wereld van aangiftes, uitstel en fiscaliteit is een foutloos werkend PKIoverheid certificaat essentieel voor de continuïteit van uw aangifte. Kiest u voor de anonimiteit van de grote PKI-certificaat aanbieders? Of kiest u voor de zekerheid, kennis en persoonlijke service van de specialist?
Wilt u direct geholpen worden bij uw (vernieuwings)aanvraag? Vraag een PKI certificaat aan of bel direct met onze helpdesk voor persoonlijk advies.
PKI certificaten
eHerkenning is een betrouwbaar inlogmiddel waarmee u op meer dan 600 portalen en communicatiekanalen kunt inloggen. eHerkenning aanvragen is bijvoorbeeld nodig voor het UWV, de Belastingdienst of bij de communicatie met gemeenten. Het komt ook voor dat private organisaties deze inlogeis stellen. Door te werken met eHerkenning kunnen partijen er zeker van zijn dat ze met de juiste persoon of organisatie communiceren. Vaak gaat het om portalen waar gevoelige informatie wordt uitgewisseld. Dan is deze vorm van digitale identificatie een betrouwbare manier om de toegang tot die informatie te beveiligen. Bij het proces van eHerkenning aanvragen zijn er wel wat stappen waar u keuzes moet maken. Hieronder vindt u de meest gestelde vragen.
Wanneer moet je eHerkenning aanvragen?
Als u een bedrijf, organisatie, intermediair of eenmanszaak bent moet u voor de toegang tot verscheidene portalen van (overheids)dienstverleners eHerkenning aanvragen. Of dat een vereiste is voor de dienstverlener waar u mee wil communiceren zal deze dienstverlener vermelden op hun website. Overheidsdienstverleners vragen vandaag de dag eigenlijk altijd om eHerkenning.
Welk niveau eHerkenning heb ik nodig?
Welk niveau van eHerkenning u nodig heeft ligt aan de gevoeligheid van de gegevens die u wilt inzien, of wilt uitwisselen. Er zijn drie betrouwbaarheidsniveaus: EH2+, EH3 en EH4. Hoe hoger het betrouwbaarheidsniveau, hoe hoger de zekerheid van identiteitsvaststelling is en hoe meer gevoelige informatie er uitgewisseld of gemuteerd kan worden. Over het algemeen zal de dienstverlener waar u mee wil communiceren aangeven welk niveau zij vereisen voor welk niveau van handelen. Als u het voor meerdere organisaties nodig heeft, kies dan altijd de hoogste die vereist wordt. Daarmee kunt ook bij de andere portalen, met lagere eisen, inloggen.
Twijfelt u welk niveau u nodig heeft, omdat u met meerdere dienstverleners moet communiceren? Onze helpdesk helpt u graag verder: vraag meer informatie aan.
Hoe lang duurt eHerkenning aanvragen?
Dit ligt aan het niveau van eHerkenning dat u wil aanvragen en aan de leverancier. De laagste variant kan vrij gemakkelijk, vaak volledig online, geregeld worden. Heeft u een hoger betrouwbaarheidsniveau nodig? Dan komt daar ook een identiteitscontrole bij kijken. Bij EH3 kan dit bij de meeste leveranciers online, bij EH4 zal dit eigenlijk altijd fysiek plaatsvinden Digidentity is de uitzondering, daar gaat elk niveau online. In het geval dat u in persoon geïdentificeerd moet worden, kan het wel een paar dagen duren voordat u het geregeld heeft.
Hoeveel middelen en machtigingen heb ik nodig?
Als u zelf wil communiceren met één of meerdere organisaties, dan kunt u één eHerkenning aanvragen die van het juiste niveau is voor de geselecteerde dienstverlener(s). Wilt u dat verschillende werknemers kunnen communiceren met de organisaties, dan moet u per werknemer de juiste eHerkenning machtiging aanvragen. eHerkenning is zo bedacht dat de machtiging bepaalt welke handelingen een persoon mag uitvoeren bij de dienst. De rollen en verantwoordelijkheden worden netjes gescheiden. Dit uitzoeken, zeker als het om meer dan tien werknemers gaat, kan behoorlijk tijdrovend en ingewikkeld zijn. Dan liggen fouten op de loer.
Het moet dus echt ‘gemanaged worden’. Dit kunnen wij ook uit handen nemen. Wij zijn gespecialiseerd in het aanvragen en beheren van eHerkenning. Wij verzorgen dan ook bijvoorbeeld de afstemming met uw afdeling voor personeelsmanagement en IT. Zo voorkom je fouten als een product wat nog geldig is, terwijl de gekoppelde medewerker uit dienst is. Meer weten? Vraag meer informatie aan of neem meteen contact op met onze helpdesk via 085 90 20 820
eHerkenning met korting
Heeft u er wel maar één nodig? Wij bieden een korting voor eHerkenning bij Digidentity aan. Als u er meerdere nodig heeft en deze via ons aanvraagt, dan zullen wij de partnerkorting uiteraard ook verrekenen.
PKI certificaten
Als maatschappij en als burger zijn wij tegenwoordig vooral afhankelijk van informatie die ons op een digitale wijze ter beschikking wordt gesteld. Waar het voorheen altijd via de post werd verstuurd, kun je nu steeds vaker kiezen om ook belangrijke post via email te ontvangen en te sturen. Daarbij is het dan wel van belang dat je zeker weet met wie je contact hebt. Dus zijn digitale handtekeningen in het leven geroepen. Maar, wanneer is een digitale handtekening rechtsgeldig?
“Een elektronische handtekening is een verzameling gegevens in elektronische vorm, die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen.” Ref: pagina 60 Betrouwbaarheidsniveaus voor digitale dienstverlening
Is een digitale handtekening rechtsgeldig?
Ja, een digitale handtekening is rechtsgeldig áls het betrouwbaar genoeg is. In principe wordt een elektronische handtekening gelijkgesteld aan een handgeschreven handtekening en heeft dus dezelfde mate van rechtsgeldigheid, en kan dus net als de handgeschreven handtekening ook in twijfel worden getrokken. In de wereld van het digitale is er net als in het anologe een gelaagdheid van vertrouwen en zekerheid te vinden. Een scan van een brief met een handtekening erop is ‘nogal’ dun. Want een scan is een scan weergave van een afbeelding en zeer eenvoudig zelf samen te stellen. Google maar eens op ‘handtekening Willem Alexander of Barack Obama’ en met een beetje knip en plakwerk ziet het er leuk uit. Kijk maar naar dit voorbeeld, waar wij de handtekening van Barack Obama onder een nepbrief hebben geplakt:
En maar al te vaak wordt het woord rechtsgeldig wel heel makkelijk en snel gebruikt, met alle gevolgen van dien. Een voorbeeld daarvan is deze uitspraak elektronische handtekening over het KIFID, DeGiro over een betwiste beleggingstransactie. Het Forum Standaardisatie biedt deze informatie rondom rechtsgeldigheid:
“Rechtsgeldigheid van elektronische handtekeningen:
- Qua rechtsgevolg is de gekwalificeerde elektronische handtekening gelijk aan de handgeschreven handtekening.
- Ook andere elektronische handtekeningen kunnen een rechtsgevolg hebben en dienen als bewijsmiddel. Het kale feit dat ze elektronisch zijn, of niet voldoen aan de eisen voor gekwalificeerde elektronische handtekeningen, doet daar niets aan af.”
Ref: pagina 63 Betrouwbaarheidsniveaus voor digitale dienstverlening
Welke digitale handtekening is rechtsgeldig?
We kennen drie soorten van digitale handtekeningen, met elk hun eigen niveau van rechtsgeldigheid:
- De ‘gewone’ elektronische handtekening; het krabbeltje wat je in een PDF reader kan zetten of een afbeelding van een handgeschreven handtekening. Hoewel dit gezien wordt als een digitale handtekening houdt deze niet altijd stand in juridische geschillen.
- De geavanceerde elektronische handtekening; hierbij is de identiteit van de ondertekenaar op enig manier verbonden aan de handtekening. Bijvoorbeeld door middel van een twee-factor authenticatie zoals een SMS.
- De gekwalificeerde elektronische handtekening; dit is eigenlijk de enige variant die volledig veilig en rechtsgeldig is. Deze digitale handtekening wordt gebaseerd op een zogenaamd gekwalificeerd certificaat, waardoor de authenticiteit volledig controleerbaar is.
De afspraken hierover zijn Europees vastgelegd in de eIDAS verordering. Dit document is lastig te lezen, maar kort geleden heeft het Nederlandse Forum voor Standaardisatie een zeer leesbare en goed te gebruiken handreikeing gepubliceerd waarin in hoofdstuk 9 uitstekend beschreven wordt wat de kern van de zaak is:
“Eigenlijk wordt de keuze tussen het niveau van geavanceerde of gekwalificeerde elektronische handtekening vooral bepaald door:
- De zwaarte van de gevolgen. In de zin van economisch belang of wijziging van gegevens in basisregistraties.
- De omkeerbaarheid van de gevolgen.
- De sanctioneerbaarheid van het doen van een valse opgave. Zijn de gevolgen zwaarwegend, en is de omkeerbaarheid beperkt, dan is het aan te bevelen te kiezen voor een gekwalificeerde elektronische handtekening.”
Ref: pagina 66 Betrouwbaarheidsniveaus voor digitale dienstverlening
Een digitale handtekening aanvragen
Het proces van een digitale handtekening is gekoppeld aan het niveau van vertrouwen wat je wilt gebruiken. Des te meer zekerheid je wilt bieden of hebben met je handtekening, hoe meer controle er moet plaatsvinden. Degene met het hoogste niveau (gekwalificeerd of QES – Qualified Electronic Signature) vraagt om een persoonlijke identificatie. Ook zijn er varianten die gekoppeld zijn aan een smartphone, in een certificaat op een USB Stick, smartcard of server. Wij leveren enkel de handtekeningen met het hoogste niveau van vertrouwen: de gekwalificeerde elektronische handtekening ook bekend als QES voor Qualified Electronic Signature of onder eIDAS QCert for ESig. Wij begeleiden het hele proces en staan je bij in elke stap. Wij vertellen wat er gaat komen en wat er gedaan moet worden. Dit doen we voor een enkele handtekening, maar ook voor organisaties waar er meerdere handtekeningen in gebruik zijn. Onze keuze om enkel voor het hoogste te gaan is omdat er dan geen twijfel, risico of schijnveiligheid bestaat of iets nou wel of niet goed ondertekend is. Daarnaast zijn de oplossingen kosteneffectief en goed te managen
Hoe ziet een authentieke digitale handtekening eruit?
Digitale handtekening voorbeeld – de regel die de authenticatie toont
Digitale handtekening voorbeeld – Authenticatie zegel/ eSeal
Digitale handtekening voorbeeld – opgeslagen persoonsgegevens
Conclusie over authenticiteit digitale handtekening
Hoewel een digitale handtekening dus in principe net zo rechtsgeldig is als een handgeschreven handtekening, loop je het risico dat een niet goed te herleiden handtekening wordt afgewezen in een rechtszaak. Bij belangrijke documenten of communicatie is de gekwalificeerde elektronische handetekening dan ook de enige die echt aan te raden is
Verandering Gekwalificeerde Elektronische Handtekeningen (QES) onder PKIoverheid G3 naar G4
Onder het toezicht van de Staat der Nederlanden worden QES handtekeningen onder het stelsel PKIoverheid G3 uitgegeven voor alle voorkomende toepassingen als medewerker binnen een organisatie, beroepsgebonden certificaten en ook organisatie gebonden zegels (zie ook voorbeeld). Na november 2028 zijn G3 uitgegeven certificaten end-of-life en worden vervangen door de zogenaamde G4. Op moment van schrijven zijn handtekening onder de nieuwe G4 nog niet beschikbaar. Gevolg is daarvan is dat nu in november 2025 enkel nog maximaal 2 jaar geldige kunnen worden uitgegeven. Een bijkomend gevolg is dat ook certificaten onder die nieuwe G4 nog niet getest kunnen worden op de werking voor bijvoorbeeld berichten jaarrekening, deponeringen door accountants en mutaties KVK en Kadaster door Notariaat en Gerechtsdeurwaarders.
Uitspraken van rechters omtrent de rechtsgeldigheid van digitale handtekeningen:
https://www.knb.nl/notariaat-magazine/2021-03/rechtspraak-uitgelegd-wanneer-zijn-ze-voldoende-betrouwbaar
https://www.vanbrug.nl/wp-content/uploads/2023/12/De-elektronische-handtekening-in-het-ondernemingsrecht-1.pdf
PKI certificaten
Het CA/B Forum heeft onlangs een stemming gehouden over Ballot SC-081v3, die onder andere aanzienlijke veranderingen in de geldigheidsduur van TLS/SSL-certificaten voorstelt. Deze certificaten zijn beter bekend als de certificaten voor websites en apps. Die zie je achter het slotje voor de ‘https’. Momenteel zijn die nog ruim een jaar geldig, maar dit wordt in 3 stapjes naar 47 dagen teruggebracht. Short lived certificates noemt men dat (vertaald: kort levende certificaten). En dat gaat grote gevolgen hebben voor de beheerders van die certificaten, apps en servers.
Het risico van short lived certificates voor beheerders
TLS/SSL certificaten voor websites en apps hebben nu een maximale geldigheid van 398 dagen. Dat betekent dat een dergelijk certificaat zo eens per jaar vernieuwd moet worden. Beheerders weten uit eigen ervaring dat dit ‘gedoe’ kan zijn. Het maken van sleutelparen, aanvragen en installeren van een certificaat klinkt redelijk simpel en overzichtelijk. Maar een beheerder moet hiervoor schakelen met ketenpartners, applicatiebeheerders en de certificaatleverancier. Het hele proces vraagt om kennis, kunde, accuratesse en bovenal aandacht en focus. Naar mate de zekerheden in het certificaat toenemen, nemen ook de controles en de doorlooptijden toe.
Het grote risico zit dan ook in het niet op tijd starten van dit proces. Dan kunnen er belangrijke processen uitvallen waardoor er werkzaamheden stil komen te liggen. Short lived certificates hebben dan ook als grote nadeel dat je straks weer opnieuw kan beginnen met de aanvraag als je net een nieuw certificaat hebt geïnstalleerd. En dat dan voor al je websites, domeinen en apps. Onhandig zou je zeggen, dus waarom gebeurt dit dan?
Waarom short lived certificates?
Short lived certificates zorgen ervoor dat er een minder lange ‘aanval tijd’ is waarin de cryptografie van een certificaat gekraakt kan worden. De ontwikkeling en (theoretische) dreiging van Quantum computers op encryptie spelen hierin ook een belangrijke rol, omdat die nog sneller sleutels kunnen kraken. Daarnaast wil het CA/B Forum ook afdwingen dat gebruikers de certificate lifecycles gaan automatiseren. De invoering van short lived certificates heeft een grote invloed op hoe we wereldwijd omgaan met de beveiliging van het internet. Je zou dan ook denken dat dit een brede beslissing zou moeten zijn waar grote belanghebbenden bij betrokken zijn, maar was dat ook zo?
Het CA/B Forum: de internettoezichthouder met absolute macht
Kort gezegd is er één partij die aan de touwtjes trekt in de beveiliging van het internet: het CA/B Forum. De beslissingen die daar worden genomen beïnvloeden hoe de encryptie met websites en apps is en hoe de grote browsers zoals Chrome, Firefox, Edge en Safari certificaten vertrouwen. Maar ze gaan ook over hoe de certificaten op mobiele apparaten, een router, koelkast, camera etc. vertrouwd worden en spelen ook nog eens een cruciale rol in de wijze waarop beveiligingsproblemen opgelost worden.
Dat oplossen gebeurt meestal door een distrust (opzeggen van vertrouwen) in een bepaalde reeks van uitgegeven certificaten, maar het kan ook rigoureus door het opzeggen van het gehele vertrouwen in een certificaatleverancier. Nu lossen ze zo’n beveiligingsprobleem dus op met short lived certificates.
Hoe lang zijn SSL certificaten geldig?
SSL certificaten zijn nu maximaal 389 dagen geldig, ongeveer 13 maanden. Het CA/B forum bepaalt deze norm voor publieke certificaten, voor bijvoorbeeld websites en apps. Vanaf maart 2026 zal deze geldigheidsduur worden ingekort naar uiteindelijk 47 dagen in maart 2029. Dit zal gaan gelden voor alle SSL certificaten, ongeacht of het een DV (domain validated), OV (organisation validated), EV (extended validation) of het Europese eIDAS QWAC certificaat is (qualified website authentication) is. De geldigheid voor een certificaat was overigens tot september 2020, 825 dagen en tot 2018 zelfs 1095 dagen. De inperking van de geldigheidstermijn is dus al langer gaande.
De overgangsfases naar short lived certificates: Ballot SC-081v3
Op 11 april 2025 is Ballot SC-081v3 aangenomen. Een ballot is een voorstel of wijziging of regels en richtlijnen. Ballot SC-081v3 bepaalt onder andere dat:
- Publiek vertrouwde certificaten geproduceerd op of na 15 maart 2026 niet langer geldig mogen zijn/vertrouwd worden dan 200 dagen
- Publiek vertrouwde certificaten geproduceerd op of na 15 maart 2027 niet langer geldig mogen zijn/vertrouwd worden dan 100 dagen
- Publiek vertrouwde certificaten geproduceerd op of na 15 maart 2029 niet langer geldig mogen zijn/vertrouwd worden dan 47 dagen
Bron: https://github.com/cabforum/servercert/pull/553/files
Moeten we mee naar de short lived certificates?
Ja. Wat dit betreft hebben we geen keuze en dat geldt voor alle certificaatgebruikers wereldwijd. Nederland is sterk in het ontwijken van goed certificate management en zoekt graag de ruimte op in de regelgeving. Daar zijn we ook bepaald geen uitzondering in, dus ziet het CA/B Forum geen andere keuze dan het inzetten van rigoureuze maatregelen met harde deadlines.
Maar het is wel griezelig om te zien hoe een kleine groep van technisch georiënteerde, veelal, mannen vanuit hoofdzakelijk Amerikaans perspectief de digitale wereld vormgeven en ‘sturen’. Overigens allemaal transparant, te volgen en mee te lezen; maar de gevolgen zijn niet minder groot. In dit geval waren 34 stemmen genoeg om een wereldwijde verandering in gang te zetten. En als je je afvraagt waarom deze grote aanpassingen niet groots in het nieuws zijn gekomen? Dat komt omdat het internet, net als de certificaten, als vanzelfsprekend worden behandeld. Het is er altijd, doet het altijd, hoe en waarom wordt (nog) niet als interessant gezien. Terwijl het een vitaal onderdeel is van de digitale wereld.
Bij het stemmingsproces zijn ook nog wat meer vraagtekens te plaatsen, maar de teerling is al geworpen en dit is de toekomst waar we ons op moeten voorbereiden. Wacht dus niet te lang met het opstellen van een sterk beleid om short lived certificates aan te kunnen. Vanaf maart 2026, wordt de huidige geldigheidsduur al nagenoeg gehalveerd. Dan zal het handmatig verlengen al een stuk arbeidsintensiever worden en na maart 2027 is het eigenlijk niet meer te doen.
Hulp nodig bij het inventariseren van de risico’s en benodigdheden voor je organisatie? Onze specialisten zijn de hele week telefonisch en per mail te bereiken, neem contact op.
PKI certificaten
Wat houdt PKI certificate management in?
PKI certificate management (ook wel certificate life cycle management genoemd) is het beheren van de verschillende PKI certificaten die een organisatie bezit. Daaronder valt het aanvraag-, verleng-, intrekkings- en controleproces. PKI staat voor Public Key Infrastructure en gaat dan bijvoorbeeld om de certificaten die een website, app of portaal waarmerken. Daarnaast zijn er ook nog certificaten die bijvoorbeeld in de apparaten zitten op je interne netwerk, om een wifi-accespoint te laten werken of voor de IOT-apparaten als scanners en dergelijke.
De complexiteit van PKI certificate management is dat het enerzijds een heel technisch iets is en anderzijds een zeer hoog administratief karakter heeft. Waardoor je er specifieke kennis voor nodig hebt en heel gericht- en regelmatige aandacht aan moet besteden. Daar komt nog bij dat het managen en beheren is veranderd en nu nog meer aandacht en een nieuwe skillset vraagt.
Complexiteit is exponentieel gegroeid – gevaren in de keten
De complexiteit van PKI certificate management is met de jaren toegenomen. Dat heeft een paar oorzaken:
- Er zijn meer apparaten en diensten bijgekomen, waardoor er meer is om bij te houden buiten de eigen directe regie.
- Er komt een nieuw generatie PKIoverheid certificaten die anders werken en waarvan nog niet zeker is hoe ze zullen communiceren met de oudere certificaten. De komende jaren tot 2028 zullen hierin een overgangsperiode zijn.
- De geldigheidstermijn van publieke certificaten wordt vanaf maart 2026 steeds korter tot het in 2029 maximaal 47 dagen geldig is. Daardoor moet er veel vaker, op tijd, een nieuwe aanvraag worden gedaan, om te voorkomen dat er processen uitvallen.
- De services die certificaten vereisen worden niet standaard meer in eigen beheer gehouden op ‘eigen’ servers. Ze worden veelal beheerd bij ketenpartners en leveranciers. Uitvoering en regie zijn daardoor gescheiden, maar de eindverantwoordelijkheid ligt altijd bij de proceseigenaar. Dit wordt benadrukt in bijvoorbeeld de AVG, NIS2 en BIO2.0
PKI certificate management is nu dus een stuk ingewikkelder geworden. Om de aanvragen en bescherming toch op peil te houden, ligt automatisering als oplossing voor de hand. Een veel gebruikte oplossing is dan ook het ACME protocol.
Wat is het ACME protocol?
De term “ACME” staat voor Automated Certificate Management Environment. Het is een protocol dat is ontwikkeld om de uitgifte en het beheer van digitale certificaten te automatiseren. Dit protocol stelt gebruikers in staat om op een eenvoudige en veilige manier certificaten aan te vragen, te valideren, te installeren en te vernieuwen met minimale menselijke tussenkomst.
ACME wordt vaak geassocieerd met Let’s Encrypt, een bekende gratis certificaatautoriteit die het ACME-protocol gebruikt om de levensduur van SSL/TLS-certificaten te beheren. Let’s Encrypt is daardoor een geliefd producent van certificaten. Het is gratis, het is makkelijk en je hebt geen diepe kennis nodig over certificaten en de onderliggende techniek. Er zijn ook geen moeilijke dingen die je moet bewijzen zoals of de gegevens ook werkelijk bij een bestaande organisatie horen. Eén keer goed installeren en de certificaten worden vanzelf en automatisch vernieuwd. Geen omkijken meer naar.
Waarom Let’s Encrypt geen aanrader is maar ACME wel
Let’s Encrypt plus het ACME-protocol klinkt dan als de ideale oplossing voor PKI certificate management, maar in de voordelen zitten ook meteen de risico’s:
- Iedereen kan het aanvragen en beheren, dus ook een leverancier zonder enige richtlijnen voor sleutelbeheer, calamiteiten of meldplicht
- Er is geen telefoonnummer, helpdesk of contactpersoon die hulp kan bieden als er iets misgaat.
- De certificaten worden geproduceerd in de VS en draaien daar op de servers, waardoor het los staat van EU-toezicht of normenkader
Betekent dit dan dat je helemaal geen Let’s Encrypt certificaten kunt inzetten? Nee dat ook weer niet, maar bedenk waarvoor je het wel en niet wil inzetten. Bedenk wat er over de lijn gaat: hoe belangrijk is de verbinding, welke mate van echtheid wil je borgen en niet in de laatste plaats; welke zekerheid wil je bieden aan je bezoekers en gebruikers. Ook bij de uitbesteedde diensten. Let’s Encrypt is de marktleider, maar zeker niet de enige producent die geautomatiseerde certificaten levert.
Het belang van de leverancier keuze in PKI certificate management
Elke connectie is als een digitale raam of deur van de organisatie en heeft een certificaat. Welk type certificaat erop moet is een keuze. Geen echtheidskenmerken in het certificaat zijn in onze beleving eigenlijk geen optie. Als je gaat automatiseren heb je ook weer keuzes te maken, zoals de leverancier waar je mee wil samenwerken.
Tegelijkertijd wil je één ding voorkomen en dat is een vendor lock-in. Je gekozen leverancier kan namelijk in zwaar weer komen en door deelnemers van CA/B forum gewantrouwd gaan worden. Dan kan het maar zo zijn dat je ineens een alternatief moet hebben voor een uniek geautomatiseerd proces terwijl de gedachte achter automatisering van certificaten juist is dat je er geen omkijken meer naar hebt.
Eén is geen – maak een lijst van eisen.
Zorg ten alle tijde dat je in de automatisering tenminste twee verschillende certificaatproducenten kunt aanroepen, want één is geen. Elke leverancier, hoe groot en schijnbaar onfeilbaar ook, kan falen of als gevolg van een aanval niet bereikbaar zijn. Vaak worden de cloud leveranciers als Google, Amazon en Microsoft standaard aangeboden in automatiseringsoplossingen als het alternatief naast de primaire certificaat producent.
Veelal is dat niet gewenst. Als er namelijk een storing, van korte of lange duur plaatsvindt, dan kan dit een ernstige onderbreking van vitale diensten en processen opleveren. Zonder uitwijkmogelijkheid is dat een onacceptabel risico. Daarnaast wil je in staat kunnen zijn om op initiatief een vrije keuze te kunnen maken. De lock-in van cloud en sleutelleverancier in één is dan verre van gewenst.
Maak met de inventarisatie van de mogelijke oplossing een goede lijst van minimale eisen van je eigen organisatie of het normenkader van de branche waarin je actief bent en kijk naar wat de best practices zijn. Vergeet ook niet zeker te stellen dat ook je (netwerk) apparatuur protocollen als ACME ondersteund. Anders werkt het nog niet.
Een wereld tussen excel sheet en enterprise key management – ons PKI certificate management
Wij verzorgen al jaren PKI certificate management voor onze klanten, de basis daarvan is ontzorging. Mede door de nieuwe regels omtrent de geldigheidsduur van een PKI certificaat, brengen wij deze dienst nog verder door onze eigen software oplossing te ontwikkelen. De standaard bij veel gebruikers is nu een excel sheet. De standaard bij de certificaatproducenten is veelal een veel te grote enterprise oplossing, bedacht voor en door techniek gedreven ontwikkelaars. De oplossing ligt in het midden en is eenvoudig in gebruik. In begrijpelijke taal, met standaard meerdere certificaatproducenten aangesloten én niet onnodig duur.
Wees ook voorbereid op de toenemend complexiteit: neem contact met ons op om uw PKI certificate management goed te regelen.
