PKIoverheid van G1 en G3 naar G4

PKIoverheid G1 en G3 certificaten zijn uiterlijk geldig tot 12 november 2028. Op dit moment worden certificaten nog uitgegeven met een geldigheid tot 3 jaar. Sinds 12 november 2025 worden alleen nog certificaten voor 1 of 2 jaar worden uitgegeven.

PKIoverheid G1 en G3 huidig gebruik

Op dit moment worden PKIoverheid certificaten uitgegeven onder de Private Root G1 voor authentieke en versleutelde gegevensuitwisseling tussen servers/machines. Dat is veel breder dan het bekende Digipoort en Digilevering. Zie hiervoor ook de pagina toepassingen PKIoverheid

Onder de Root G3 worden PKIoverheid certificaten uitgegeven voor het gebruik als gekwalificeerde elektronische handtekening voor het onweerlegbaar ondertekenen van van documenten/indieningen, voor het aanmelden op systemen, het ondertekenen van email (S/MIME) en voor versleuteling van informatie (encryptie).

Voorbeelden van gekwalificeerd ondertekenen zijn de beroepsgebonden toepassingen voor notariaat, accountancy, gerechtsdeurwaarder, maar ook persoonsgebonden organisatie voor ondertekenen namens een organisatie of eHerkenning4. Daarnaast zijn er onder de G3 ook toepassingen voor burgers in bijvoorbeeld de onroerend goed keten.

PKIoverheid G4 certificaten bevatten een moderner cryptografisch algoritme voor het ondertekenen van alle certificaten en kunnen nog maar voor specifieke doeleinde gebruikt worden. Dus niet meer voor zowel authenticeren als digitaal ondertekenen bijvoorbeeld zoals bijvoorbeeld bij de hudige G1 server certificaten. De verschillen op een rijtje:

• G4 bevat een moderner cryptografisch algoritme: RSASSA-PKCS1-v1_5 is vervangen door RSASSA-PSS;
• Elk type eindgebruikerscertificaat is nog maar voor één doeleinde te gebruiken;
• De naamgeving van zowel de eindgebruikerscertificaten als die van de bovenliggende hiërarchie is aangepast;
• De sleutellengte is aangepast van miniaal 2048 bits naar minimaal 3072 bits.

Al deze aanpassingen zijn in lijn met EU en de NCSC richtlijnen “Transport Layer Security (TLS) – Beveiligingsrichtlijnen versie 2025-05″

Voor meer inhoud en achtergrondinformatie zie ook het overzicht van de verschillende overheid publicaties. 

Ja, ook de gekwalificeerde elektronische handtekening zal na 12 november 2025 niet meer uitgeleverd kunen worden met een geldigheid van 3 jaar. Er zal een nieuwe (G4) variant komen, die voorzien is van een andere sleutellengte, ander algoritme en andere naamstellingen.

Op dit moment is er nog geen tijdspad bekend voor het uitleveren van Trial en productiecertificaten bij de verschillende producenten. Abboneer je op de notificaties om geïnformeerd te worden als er ontwikkelingen zijn.

Voorbeelden toepassing

Gekwalificeerde elektronische handtekeningen (QES) worden op dit moment uitgegeven onder de G3 root en zijn opgenomen als ‘gekwalificeerd vertrouwd” in PDF generators/readers als Acrobat Reader.
Bekende toepasingen zijn de (persoonsgebonden) beroepscertificaten voor bijvoorbeeld notarissen, accountants, gererechtsdeurwaarden en octrooigemachtigden. Daarnaast zijn er ook de toepassingen personen (medewerkers) die deze certificaten gebruiken voor het ondertekenen als functionaris namens een organisatie (zowel publiek als privaat). Een toepassing is het ondertekenen van een aanbestedingsdocument waarbij ook vereist is dat de organisatiegegevens van de ondertekenaar gekwalificeerd opgenomen zijn in de handtekening.

Minder zichtbaar (bekend) zijn de gekwalificeerde elektronische handtekeningen die gebruikt worden voor services voor documentondertekening (eSeals). Deze worden toegepast in bijvoorbeeld het ondertekenen van gewaarmerkte uittreksels Kamer van Koophandel of het doen van opgaven voor EU European Product Database for Energy Labeling (EPREL) als handtekeningen namens een bedrijf/organisatie en niet namens een persoon.

Een derde variant is het gekwalificeerde burgercertificaat. Deze variant komt in het bijzonder voor in de toepassing in hypotheekketens.

Daarnaast zijn gekwalificeerde certificaten vereist als onderliggend vertrouwen voor eHerkenning 4 (het hoogste niveau eHerkenning)

Vorm

Een vereiste voor een gekwalificeerde elektronische handtekening is dat het gecreëerd (opgeslagen) is op een gekwalificeerd middel (QSCD). Meest bekend in de vorm van een chip op smartcard of USB stick. Er bestaat ook een ‘mobiele variant’ waarbij de ondertekening loopt vanaf een smartphone die het gekwalificeerd middel bij de gekwalificeerde vertrouwensdienstverlener aanroept.

Op dit moment kunnen er nog geen G4 certificaten worden aangevraagd. De Trust Service Providers zijn de productie aan het voorbereiden, waarna certificaten bij ons aangevraagd kunnen worden. De test in applicatie en ketens kan wel binnenkort beginnen.

De trial PKIoverheid G4 server certificaten zullen snel bij ons beschikbaar zijn.

Voor nu is het advies om te abonneren op de notificaties om op de hoogte te blijven van de test certificaten en de komst van de PKIoverheid G4 certificaten.

G1 Private Services Server zonder domeinnamen
(OID: 2.16.528.1.1003.1.2.8.6)
=> G4 Private Other Generic Legal Persons Organization Validated Authentication
(OID: 2.16.528.1.1003.1.2.44.16.25.8)

———————–
G3 Organisatie Services Authenticiteit
(OID: 2.16.528.1.1003.1.2.5.4)
=> G4 Private Other Generic Legal Persons Organization Validated Authentication
(OID: 2.16.528.1.1003.1.2.44.16.25.8)

———————–

G1 Private Services Server met domeinnamen
(OID: 2.16.528.1.1003.1.2.8.6)
=> G4 Private TLS Generic Devices Organization Validated Server
(OID: 2.16.528.1.1003.1.2.44.15.35.11)

———————–

G3 Organisatie Services Onweerlegbaarheid
(OID 2.16.528.1.1003.1.2.5.7)
=> G4 EUTL Organization Validated eSeal
(OID: 2.16.528.1.1003.1.2.44.14.25.5)

———————–

G3 Organisatie Persoon Onweerlegbaarheid 
(OID: 2.16.528.1.1003.1.2.5.2)
=> G4 EUTL Organization Validated eSeal
(OID: 2.16.528.1.1003.1.2.44.14.25.5)

————————

G3 Burger Onweerlegbaarheid
(OID: 2.16.528.1.1003.1.2.3.2)
=> G4 EUTL Individual Validated eSignature
(OID: 2.16.528.1.1003.1.2.44.14.11.5)

Bron: Logius

Waarom een ander algoritme?
PKIoverheid certificaten voldoen aan ETSI, welke refereert naar SOG-IS, welke RSASSA‐PKCS1‐v1_5 als legacy bestempeld (niet voor nieuwe toepassingen).

De lijst geeft de minimale versies aan waarvan volledige ondersteuning verwacht mag worden. Ondersteuning werd vaak onder meerdere releases verspreid.
Valideer daar met PKIoverheid G4 TRIAL certificaten.

* Apple ondersteunt het algoritme niet volledig voor roots en intermediates.

Bron: Logius

Er zijn binnenkort twee mogelijkheden om met Trial certificaten aan de gang te kunnen gaan voor de server toepassingen voor bijvoorbeeld Digipoort, Digilevering, DigiD, Digimelding, makelaar eHerkenning/ eIDAS. Deze zijn  noodzakelijk voor het kunnen doen van applicatie- en ketentesten.

• Er komt een testsuite via Logius zelf beschikbaar voor het zelf creeren van een Trial CA omgeving;
• PKIpartners is in het proces gebruiksklare Trial certificaten aan te bieden. Dit wordt in lijn- en in samenwerking met Logius – PKIoverheid worden aangeboden. De verwachting is dat deze begin december 2025 beschikaar zullen zijn.

Voor nu is het advies om te abonneren op de notificaties om op de hoogte te blijven van de Trial  certificaten en de komst van de PKIoverheid G4 certificaten.

De kortere levensduur is voorlopig nog niet van toepassing op PKIoverheid certificaten. Zodra de G4 certificaten beschikbaar zijn, kunnen wij uitleveren met een geldigheid van maximaal 3 jaar.

Levensduur publieke TLS certificaten op de schop

PKIoverheid is gebaseerd op de PKI (Public Key Infrastructure) standaarden, maar is onderdeel van een Private PKI; niet te gebruiken op het publieke internet.

Publieke PKI certificaten die gebruikt worden op het internet en voor apps worden in stappen vanaf 15 maart 2026 tot en met 15 maart 2029 verkort qua levensduur. Van nu 398 dagen geldigheid naar 47 dagen na 15 maart 2029, te beginnen met 200 dagen na 15 maart 2026. Meer over deze aanpassingen, de achtergronden en impact kunt u lezen in ons artikel: ‘Short lived certificates in aantocht, beheerder opgepast!’

Enkel voor web PKI certificaten – nog niet voor PKIoverheid

Op termijn is het mogelijk dat ook PKIoverheid kortere geldigheid krijgt om een antwoord te kunnen bieden tegen de dreiging vanuit bijvoorbeeld quantum computers. Maar naast kortere levensduur worden ook de opties onderzicht met andere algoritmen of grote sleutellengte.

PKIoverheid en PKI certificaten zijn expliciet opgenomen en benoemd in de maatregelen uit de Baseline Informatiebeveiliging overheid 2 (BIO2) onder maatregel 5.12.04

“Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving.”

De meest recente versie BIO2 kunt u vinden op BIO2 in Excel

Toelichting: wat is een OV certificaat en de verschillen tussen
DV – OV – EV – QWAC certificaten voor web en app

Meer informatie over wat Organization Validated (OV)-certificaten zijn er welke informatie in OV certifiaten opgenomen, kunt u lezen op de pagina Website Authenticatie certficaten