Wat is er aan de hand?
Stel je voor dat je opeens een compleet nieuw identiteitsbewijs moet gaan gebruiken en dat de oude niet meer geldig is. Wil je die dan vervangen hebben op de laatste dag? Nee. Veel eerder. Vanaf november dit jaar zullen er geen G1 certificaten voor 3 jaar meer worden uitgegeven en vanaf 2028 verdwijnen ze helemaal. Dat betekent dat we nu een overgangsfase ingaan waarbij sommigen nog de G1 certificaten gebruiken en sommigen al de nieuwe generatie PKIoverheid certificaten. Zijn wij, en misschien nog wel belangrijker; onze applicaties, daar wel op voorbereid?
Van de gebruiker via de uitgever naar Staat de Nederlanden – hiërarchie
Net als met een fysiek ID-bewijs/rijbewijs heeft ook elk digitaal ID bewijs een begrensde geldigheid met een ‘geldig van-’ en een ‘geldig tot-’ datum. In het geval van PKIoverheid certificaten kunnen deze certificaten een geldigheid hebben van 1, 2 of 3 jaar. De geldigheid is van toepassing op de zogenaamde eindgebruikers certificaten (dit is je werkelijke certificaat wat je bijvoorbeeld gebruikt voor je Digipoort koppeling, het ondertekenen van afschriften akten of de koppeling met DigiD. ‘Boven’ jouw eindgebruikerscertificaat zijn de zogenaamde bovenliggende-/uitgevende certificaten en die zijn langer geldig. In het geval van de huidige PKIoverheid G1 en G3 certificaten is dit 15 jaar met als hard einde 14 november 2028.
Mens en machine certificaten onder PKIoverheid
Of een PKIoverheid eindgebruiker certificaat een geldigheid van 1, 2 of 3 jaar heeft, wordt bepaald door de geaccrediteerde producenten. Die zijn onder het normenkader van PKIoverheid vrij om te kiezen wat ze wel en niet aanbieden. Qua levensduur, maar ook qua soort certificaten en voor wie. Die vrijheid maakt het op dit moment al vaak onoverzichtelijk en zal nog onoverzichtelijker worden met de aanstaande grote verandering.
Grootste verandering sinds 2013; van G1 en G3 naar G4 en G3+ met onderverdelingen.
Die aanstaande veranderingen zijn niet enkel dat een nieuw (moderner) algoritme RSASSA-PSS(2) wordt gebruikt in de G4 en G3+ in plaats van de huidige RSASSA-PKCS1-v1_5, maar ook dat er meer soorten certificaten bij gaan komen voor specifieke toepassingen en met veel minder begrijpelijke namen.
Nu heet bijvoorbeeld intermediate certificaat voor de veelvoorkomende toepassing Digipoort, Digikoppeling etc : Staat der Nederlanden Private Services CA - G1 en in de nieuwe variant gaat het PKI certificaat voor dezelfde toepassing Staat der Nederlanden - G4 Intm Priv G-Other LP – 2024 heten. Of voor een andere toepassing, maar nu ook bestaande toepassing; Staat der Nederlanden - G4 Intm EUTL G-Sigs NP – 2024
Waarom niet bij het oude blijven?
Wij hebben die vraag natuurlijk ook gesteld aan Logius. Het heeft ook te maken met een logische en goede modernisering. Want net als met een ID bewijs of waardepapieren, moet ook bij certificaten de veiligheid en compatibiliteit van de algoritmes omhoog. Omdat ook regelgeving en de toepassing van regelgeving door de jaren heen is veranderd, wordt er nu rekening gehouden met bijvoorbeeld een onderscheid tussen natuurlijke- en rechtspersonen.
Daarnaast kwam in 2014, na de uitgifte in 2013, ook de eIDAS (910/2014) verordening voor elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. In het verlengde daarvan moest ook PKIoverheid wel aanpassingen gaan doorvoeren, bijvoorbeeld voor de gekwalificeerde handtekening. Notarissen, advocaten, accountants, gerechtsdeurwaarders, maar ook DUO, KVK, Kadaster, Tendernet en vele andere organisaties maken gebruik van deze rechtsgeldige gekwalificeerde handtekeningen voor ondertekening van documenten. Ook daarin was een modernisering hard nodig.
2028 is niet ver weg – dan is het voorbij
2028 klinkt misschien ver, maar dat is niet zo. Vanaf 13 november dit jaar worden er geen G1 certificaten meer geleverd die drie jaar geldig zijn. Tegen die tijd zullen er, naar we mogen aannemen, dus al de nieuwe generatie pkioverheid certificaten, G4 en G3+, worden geleverd.
- Maar gaan de vertrouwde G1 certificaten wel werken met een G4 aan de ontvangende kant?
- Of vice versa?
- Gaat een applicatie die nu G3 getekende documenten verwerkt wel werken met de G3+ of G4?
- Of moeten er voor elke variant een aparte afhandeling plaatsvinden?
Vinger wijzen en schuldige zoeken heeft geen zin. Partner kiezen en aan de bak gaan wel
De deadlines zijn ‘hard en duidelijk’. Het voordeel van die ‘harde duidelijkheid’ is dat het kaders geeft en daar dus op gepland kan worden. Het is wel zaak om actie te ondernemen. Niet alleen als software- of applicatie leverancier zelf, maar met name ook om de transitie bij de klanten/gebruikers van de applicatie goed voor te bereiden. Zij zullen ook op termijn één of meerdere van de nieuwe generatie PKIoverheid certificaten moeten kopen en (laten) installeren.
Kies je certificaatpartner en wacht niet te lang
De kennis is beperkt en het aantal medewerkers bij de producenten is ook beperkt.
Ga op zoek naar een certificaatpartner die verstand van zaken heeft, bereikbaar is en mee wil denken in Mens, Organisatie, Omgeving en Techniek. Denk aan wat je klanten nodig hebben qua ondersteuning, instructies en communicatiekanalen.
Wij zijn er ook voor u – gespecialiseerd en altijd telefonisch bereikbaar
Dit klinkt misschien gek in tijden van apps, AI, mail en chatbots, maar bereikbaarheid en persoonlijk contact zijn onze kernwaardes. Een certificaat is niet goedkoop en daar mag u dan ook de beste service en dienstverlening voor verwachten. Dat begint bij dat je ons gewoon kunt bellen voor al je vragen op 085 – 90 20 820, of vul het contactformulier in en dan nemen wij binnen een uur of twee contact met jou op.
PKIpartners werkt onafhankelijk, wij kiezen wij samen met elke relatie of klant de producent en het certificaat wat bij de toepassing gewenst of vereist is. Daarmee zijn we veel vrijer en is de service vele malen hoger. Daarin zijn we bewezen. Lees hiervoor ons whitepaper over de samenwerking tussen Nextens en PKIpartners. Om de Nextens relaties als marktleider van fiscale software te helpen bij de PKIoverheid certificaatcrisis van 2020/2021.
Lees ook de onafhankelijke reviews bij Feedback Company; wat klanten van onder andere Nextens, Exact, AFAS, VISMA en Van Brug over ons zeggen.
Logius PKI overheid bronmaterialen G1, G3, G3+ en G4 certificaten
Overzicht certificaten https://cert.pkioverheid.nl
Publicatie 2 https://www.logius.nl/actueel/wees-voorbereid-de-nieuwe-generatie-pkioverheidcertificaten-komen-eraan