PKIoverheid G4 TRIAL Certificaten
Vraag nu een TRIALcertificaat aan
⚠ Gebruiksvoorwaarden
PKIoverheid G4 TRIAL certificaten worden door PKIpartners kosteloos aangeboden als hulpmiddel voor evaluatie- en testdoeleinden.
De TRIAL certificaten zijn opgezet in lijn met ontwikkelrichtlijnen van Logius – PKIoverheid.
TRIAL PKIoverheid certificaten mogen niet worden toegepast voor productiedoeleinden.
Informatie en veelgestelde vragen
⚠ Het PKIoverheid G4 TRIAL root certificaat en de PKIpartners G4 TRIAL issuing certificaten kunnen worden gedownload op https://cert.pkioverheid.nl/.
⚠ TRIAL certificaten worden met handtekeningenalgortime RSA-PSS met sleutellengte 3072 bits als .pfx / .cer / .key file uitgeleverd.
✔ Meer informatie en veelgestelde vragen over de transitie PKIoverheid G1, G3 naar G4 kunt u vinden op onze themapagina’s.
Nu PKIoverheid Private Root G1 / G3 certificaten nodig?
Heeft u PKIoverheid G1 & G3 productie certificaten nodig of heeft u ondersteuning nodig voor het beheren van uw huidige certificaten?
Neem dan contact met ons op via 085 – 90 20 820 of stuur een mail naar info@pkipartners.nl.
U kunt ook het contactformulier invullen en dan nemen wij contact met u op. Wel zo makkelijk.
Bereikbaar op: 085 90 20 820
PKIpartners: Zorgeloze integratie, blije klanten, geen supporttickets.
Als verlengstuk van uw servicedesk nemen wij de volledige zorg rondom PKIoverheid- en PKI-certificaten uit handen.
✔ Wij zorgen dat uw klanten juiste-, werkende certificaten hebben, zodat uw software ongestoord blijft functioneren.
✔ Uw team focust op core-business en innovatie; wij lossen de complexe certificaat-uitdagingen op.
✔ Uw software, onze expertise, gezamenlijk succes.
PKIpartners voor eindgebruikers
✔ Sinds 2011 specialist als Managed Service Provider voor het aanvragen, implementeren en beheren van Public website & Private PKIoverheid certificaten.
✔ Altijd met persoonlijke begeleiding en een goed bereikbare helpdesk.
Met onze belofte.. Niet goed? Geld terug!
Aanvraagformulier PKIoverheid G4 TRIAL certificaat
PKIpartners: Zorgeloze integratie, blije klanten, geen supporttickets.
✔ Als verlengstuk van uw servicedesk nemen wij de volledige zorg rondom PKIoverheid- en PKI-certificaten uit handen.
✔ Wij zorgen dat uw klanten juiste-, werkende certificaten hebben, zodat uw software ongestoord blijft functioneren.
✔ Uw team focust op core-business en innovatie; wij lossen complexe certificaat-uitdagingen op. Uw software, onze expertise, gezamenlijk succes.
PKIpartners voor eindgebruikers
✔ Sinds 2011 specialist als Managed Service Provider voor het aanvragen, implementeren en beheren van Public website & Private PKIoverheid certificaten.
✔ Altijd met persoonlijke begeleiding en een goed bereikbare helpdesk.
Met onze belofte.. niet goed? Geld terug.
Wij zijn PKIoverheid partner van:
Veelgestelde vragen
Veelgestelde vragen over de Transitie van G1, G3 naar G4 certificaten.
Toepassingen G1 en G3
PKIoverheid G1 en G3 certificaten zijn sinds 2011 in gebruik. Het hoge niveau van vertrouwen door het normenkader en toezicht van Logius maakt dat PKIoverheid zeer breed ingezet wordt in alle vitale ketens van private naar publieke informatie-uitwisseling en tussen publieke organisaties onderling.
Publicaties overheden
Overheden en uitvoeringsorganisaties zullen ook zelf communiceren over de PKIoverheid aanpassingen op hun dienstverlening.
Wij helpen door een bundeling aan te bieden met die informatie en dit goed up-to-date te houden.
PKIoverheid G1/G3 versus PKIoverheid G4; veelgestelde vragen:
1. Tot wanneer kan ik de huidige PKIoverheid G1 en G3 gebruiken?
PKIoverheid G1 en G3 certificaten zijn uiterlijk geldig tot 12 november 2028. Op dit moment worden certificaten nog uitgegeven met een geldigheid tot 2 jaar. Sinds 12 november 2025 worden alleen nog certificaten voor 1 of 2 jaar worden uitgegeven.
PKIoverheid G1 en G3 huidig gebruik
Op dit moment worden PKIoverheid certificaten uitgegeven onder de Private Root G1 voor authentieke en versleutelde gegevensuitwisseling tussen servers/machines. Dat is veel breder dan het algemeen bekende gebruik voor Digipoort en Digilevering. Zie hiervoor ook de pagina toepassingen PKIoverheid
Onder de Root G3 worden PKIoverheid certificaten uitgegeven voor het gebruik als gekwalificeerde elektronische handtekening voor het onweerlegbaar ondertekenen van van documenten/indieningen, voor het aanmelden op systemen, het ondertekenen van email (S/MIME) en voor versleuteling van informatie (encryptie).
Voorbeelden van gekwalificeerd ondertekenen zijn de beroepsgebonden toepassingen voor notariaat, accountancy, gerechtsdeurwaarder, maar ook persoonsgebonden organisatie voor ondertekenen namens een organisatie of eHerkenning4. Daarnaast zijn er onder de G3 ook toepassingen voor burgers in bijvoorbeeld de onroerend goed keten.
2. Wat is het verschil tussen PKIoverheid G1, G3 en G4 certificaten?
PKIoverheid G4 certificaten bevatten een moderner cryptografisch algoritme voor het ondertekenen van alle certificaten en kunnen nog maar voor specifieke doeleinde gebruikt worden. Dus niet meer voor zowel authenticeren als digitaal ondertekenen bijvoorbeeld zoals bijvoorbeeld bij de hudige G1 server certificaten. De verschillen op een rijtje:
- G4 bevat een moderner cryptografisch algoritme: RSASSA-PKCS1-v1_5 is vervangen door RSASSA-PSS;
- Elk type eindgebruikerscertificaat is nog maar voor één doeleinde te gebruiken;
- De naamgeving van zowel de eindgebruikerscertificaten als die van de bovenliggende hiërarchie is aangepast;
- De sleutellengte is aangepast van miniaal 2048 bits naar minimaal 3072 bits.
Al deze aanpassingen zijn in lijn met EU en de NCSC richtlijnen "Transport Layer Security (TLS) - Beveiligingsrichtlijnen versie 2025-05"
Voor meer inhoud en achtergrondinformatie zie ook het overzicht van de verschillende overheid publicaties.
3. Heeft de transitie naar PKIoverheid G4 gevolgen voor gekwalificeerde elektronische handtekeningen?
Ja, ook de gekwalificeerde elektronische handtekening zal na 12 november 2025 niet meer uitgeleverd kunen worden met een geldigheid van 3 jaar. Er zal een nieuwe (G4) variant komen, die voorzien is van een andere sleutellengte, ander algoritme en andere naamstellingen.
Op dit moment is er nog geen tijdspad bekend voor het uitleveren van Trial en productiecertificaten bij de verschillende producenten. Abboneer je op de notificaties om geïnformeerd te worden als er ontwikkelingen zijn.
Voorbeelden toepassing
Gekwalificeerde elektronische handtekeningen (QES) worden op dit moment uitgegeven onder de G3 root en zijn opgenomen als 'gekwalificeerd vertrouwd'' in PDF generators/readers als Acrobat Reader.
Bekende toepasingen zijn de (persoonsgebonden) beroepscertificaten voor bijvoorbeeld notarissen, accountants, gererechtsdeurwaarden en octrooigemachtigden. Daarnaast zijn er ook de toepassingen personen (medewerkers) die deze certificaten gebruiken voor het ondertekenen als functionaris namens een organisatie (zowel publiek als privaat). Een toepassing is het ondertekenen van een aanbestedingsdocument waarbij ook vereist is dat de organisatiegegevens van de ondertekenaar gekwalificeerd opgenomen zijn in de handtekening.
Minder zichtbaar (bekend) zijn de gekwalificeerde elektronische handtekeningen die gebruikt worden voor services voor documentondertekening (eSeals). Deze worden toegepast in bijvoorbeeld het ondertekenen van gewaarmerkte uittreksels Kamer van Koophandel of het doen van opgaven voor EU European Product Database for Energy Labeling (EPREL) als handtekeningen namens een bedrijf/organisatie en niet namens een persoon.
Een derde variant is het gekwalificeerde burgercertificaat. Deze variant komt in het bijzonder voor in de toepassing in hypotheekketens.
Daarnaast zijn gekwalificeerde certificaten vereist als onderliggend vertrouwen voor eHerkenning 4 (het hoogste niveau eHerkenning)
Vorm
Een vereiste voor een gekwalificeerde elektronische handtekening is dat het gecreëerd (opgeslagen) is op een gekwalificeerd middel (QSCD). Meest bekend in de vorm van een chip op smartcard of USB stick. Er bestaat ook een 'mobiele variant' waarbij de ondertekening loopt vanaf een smartphone die het gekwalificeerd middel bij de gekwalificeerde vertrouwensdienstverlener aanroept.
4. Kan ik al PKIoverheid G4 certificaten aanvragen?
Nee en ....
Op dit moment kunnen er nog geen Productie PKIoverheid G4 certificaten worden aangevraagd. De Trust Service Providers zijn de productie aan het voorbereiden, waarna certificaten bij PKIpartners gekocht kunnen worden.
....ja
De test in applicatie en ketens kunnen wel binnenkort beginnen. De TRIAL (test) PKIoverheid G4 server certificaten zijn bij PKIpartners ons beschikbaar.
Voor nu is het advies om te abonneren op de notificaties om op de hoogte te blijven van de komst van de PKIoverheid G4 certificaten.
5. Vertaaltabel PKIoverheid G1/G3 certificaten naar PKIoverheid G4
G1 Private Services Server zonder domeinnamen
(OID: 2.16.528.1.1003.1.2.8.6)
=> G4 Private Other Generic Legal Persons Organization Validated Authentication
(OID: 2.16.528.1.1003.1.2.44.16.25.8)
-----------------------
G3 Organisatie Services Authenticiteit
(OID: 2.16.528.1.1003.1.2.5.4)
=> G4 Private Other Generic Legal Persons Organization Validated Authentication
(OID: 2.16.528.1.1003.1.2.44.16.25.8)
-----------------------
G1 Private Services Server met domeinnamen
(OID: 2.16.528.1.1003.1.2.8.6)
=> G4 Private TLS Generic Devices Organization Validated Server
(OID: 2.16.528.1.1003.1.2.44.15.35.11)
-----------------------
G3 Organisatie Services Onweerlegbaarheid
(OID 2.16.528.1.1003.1.2.5.7)
=> G4 EUTL Organization Validated eSeal
(OID: 2.16.528.1.1003.1.2.44.14.25.5)
-----------------------
G3 Organisatie Persoon Onweerlegbaarheid
(OID: 2.16.528.1.1003.1.2.5.2)
=> G4 EUTL Organization Validated eSeal
(OID: 2.16.528.1.1003.1.2.44.14.25.5)
------------------------
G3 Burger Onweerlegbaarheid
(OID: 2.16.528.1.1003.1.2.3.2)
=> G4 EUTL Individual Validated eSignature
(OID: 2.16.528.1.1003.1.2.44.14.11.5)
Bron: Logius
6. Het nieuwe algoritme RSASSA-PSS (signature algorithm)
Waarom een ander algoritme in PKIoverheid G4 dan in de huidige PKIoverheid G1 en G3?
PKIoverheid certificaten moeten voldoen aan ETSI, welke refereert naar SOG-IS, daarin is
RSASSA‐PKCS1‐v1_5 als legacy (verouderd) bestempeld.
! Zie ook FAQ "PKIoverheid G4 - RSASSA-PSS en TLS1.2 versus TLS1.3"
Onderstaande lijst geeft de minimale versies aan waarvan volledige ondersteuning verwacht mag worden voor RSASSA-PSS. Ondersteuning werd vaak onder meerdere releases verspreid.
Controleer en test daarom met PKIoverheid G4 TRIAL certificaten.
| OpenSSL | 1.0.2 (2019) |
| Apple* | iOS 10.0 (2016) iPadOS 10.0 (2016) macOS 10.12 (2016) Mac Catalyst 13.1 (2016) tvOS 10.0 (2016) watchOS 3.0 (2016) visionOS 1.0 (2016) |
| Adobe | Acrobat (2017) |
| Mozilla | NSS v3.77 (2022) Firefox v100 (2022) |
| Microsoft | Azure KeyVault Windows Server (2008) .NET Core v1.0 (2014) .NET Framework v4.6 (2015) |
| Java | jdk 1.8.0_251 (2020) OpenJDK 8u252 (2020) BouncyCastle 1.73 (2020) |
| Amazon | CloudHSM AWS IoT Core |
| IBM | z/OS 2.5.0 (2023) |
| F5 | BIG-IP v12.1.0 (2016) |
* Apple ondersteunt het algoritme niet volledig voor roots en intermediates.
Bron: Logius
7. PKIoverheid G4 - RSASSA-PSS en TLS1.2 versus TLS1.3
- RSASSA-PSS wordt niet standaard ondersteund in TLS1.2 , maar toch vaak geïmplementeerd ("backported"). Test daarom goed! (TRIAL certificaten aanvragen)
- RSASSA-PSS wordt standaard ondersteund in TLS1.3
- Kijkend naar de toekomst; PQC (Post Quantum Cryptographie) vereist TLS1.3
> Bron en advies Logius - PKIoverheid: "Voor nu: test of TLS1.2 implementatie fucntioneert. Lange(re) termijn: upgrade uitsluitend naar TLS1.3.
8. Kan ik al PKIoverheid G4 test (Trial) certificaten aanvragen?
Er zijn twee mogelijkheden om met TRIAL certificaten aan de gang te kunnen gaan voor de server toepassingen voor bijvoorbeeld Digipoort, Digilevering, DigiD, Digimelding, makelaar eHerkenning/ eIDAS. Deze TRIAL certificaten zijn noodzakelijk voor het kunnen doen van applicatie- en ketentesten.
- Er is een testsuite via Logius zelf beschikbaar voor het zelf creëren van een Trial CA omgeving; maar dat is ingewikkeld om te doen, vraagt om diepgaande PKI kennis en je zult dan ook moeten worden opgenomen in de formele TRIAL PKIoverheid.
- PKIpartners heeft dat proces doorlopen en op dit moment de enige organisatie die kant-en-klare testcertificaten levert. Die kan je kosteloos aanvragen op onze aanvraagpagina PKIoverheid TRIAL en deze zijn in lijn- en in samenwerking met Logius - PKIoverheid aangeboden.
9. Waar ik de 'losse' root- en intermediate certificaten TRIAL PKIoverheid en PKIpartners downloaden?
Op de overzichtspagina van PKIoverheid staan alle uitgegeven PKIoverheid Root, intermediate en issueing certficifaten staan ook de TRIAL PKIoverheid PKIpartners certificaten gepubliceerd.
Bij de meest recente publicaties kunt je onderaan de juiste certficaten downloaden.
crt.pkioverheid.nl
10. PKI webcertificaten krijgen een kortere levensduur, is dit ook voor PKIoverheid van toepassing?
De kortere levensduur is voorlopig nog niet van toepassing op PKIoverheid certificaten. Zodra de G4 certificaten beschikbaar zijn, kunnen wij uitleveren met een geldigheid van maximaal 3 jaar.
Levensduur publieke TLS certificaten op de schop
PKIoverheid is gebaseerd op de PKI (Public Key Infrastructure) standaarden, maar is onderdeel van een Private PKI; niet te gebruiken op het publieke internet.
Publieke PKI certificaten die gebruikt worden op het internet en voor apps worden in stappen vanaf 15 maart 2026 tot en met 15 maart 2029 verkort qua levensduur. Van nu 398 dagen geldigheid naar 47 dagen na 15 maart 2029, te beginnen met 200 dagen na 15 maart 2026. Meer over deze aanpassingen, de achtergronden en impact kunt u lezen in ons artikel: 'Short lived certificates in aantocht, beheerder opgepast!'
Enkel voor web PKI certificaten - nog niet voor PKIoverheid
Op termijn is het mogelijk dat ook PKIoverheid kortere geldigheid krijgt om een antwoord te kunnen bieden tegen de dreiging vanuit bijvoorbeeld quantum computers. Maar naast kortere levensduur worden ook de opties onderzicht met andere algoritmen of grote sleutellengte.
11. Zijn PKIoverheid certificaten als maatregel benoemd in BIO2?
PKIoverheid en PKI certificaten zijn expliciet opgenomen en benoemd in de maatregelen uit de Baseline Informatiebeveiliging overheid 2 (BIO2) onder maatregel 5.12.04
"Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving."
De meest recente versie BIO2 kunt u vinden op BIO2 in Excel
Toelichting: wat is een OV certificaat en de verschillen tussen
DV - OV - EV - QWAC certificaten voor web en app
Meer informatie over wat Organization Validated (OV)-certificaten zijn er welke informatie in OV certifiaten opgenomen, kunt u lezen op de pagina Website Authenticatie certficaten