PKIoverheid van G1 en G3 naar G4

Transitie naar G4: hoe en wat te doen?

Op 12 november 2028 zijn de PKIoverheid certificaten G1 en G3 end of life.
✔ De transitie naar de nieuwe generatie PKIoverheid G4 voor servercertificaten en gekwalificeerde persoons- en berroepsgebonden certificaten is gaande.
✔ Om dit proces soepel te laten verlopen voorziet PKIpartners in kennis en oplossingen voor publieke en private partijen:

  1. antwoorden op veelgestelde vragen
  2. aanvragen PKIoverheid G4 Trial/Test certificaten
  3. overzicht van toepassingen PKIoverheid G1 en G3
  4. overzicht informatie van overheidsdienstverleners

     

    Veelgestelde vragen

    Bereikbaar op: 085 90 20 820

    PKIpartners is sinds 2011 dé bewezen specialist in het aanvragen, implementeren en beheren van PKIoverheid certificaten. Altijd met persoonlijke begeleiding en een goed bereikbare helpdesk

    Op de hoogte blijven?

    De transitie naar PKIoverheid G4 is gaande. Op de hoogte blijven van ontwikkelingen omtrent toepassingen, de certificaten en informatie van dienstverleners?

    Abonneer u op de notificaties.

    Wij zijn PKIoverheid partner van:

    PKIcertificaat pkipartners Digidentity
    PKI-Partners-logo-DigiCert-QuoVadis
    kpnlogo pki partners

    ⚠ G4 Trial certificaten

    Om applicaties, end-points en gegevensuitwisseling voor te bereiden op de komst van de productie PKIoverheid G4 certificaten, is het van belang om nu uw applicaties te testen met clientauthenticatie en of server-authenticatie PKIoverheid G4 TRIAL certificaten.

     

    Vraag PKIoverheid G4 TRIAL aan

    Toepassingen G1 en G3

    PKIoverheid G1 en G3 certificaten zijn sinds 2011 in gebruik. Het hoge niveau van vertrouwen door het normenkader en toezicht van Logius maakt dat PKIoverheid zeer breed ingezet wordt in alle vitale ketens van private naar publieke informatie-uitwisseling en tussen publieke organisaties onderling.

    Overzicht toepassingen

    Publicaties overheden

    Overheden en uitvoeringsorganisaties zullen ook zelf communiceren over de PKIoverheid aanpassingen op hun dienstverlening.

    Wij helpen door een bundeling aan te bieden met die informatie en dit goed up-to-date te houden.

    Overzicht publicaties

    PKIoverheid G1/G3 versus PKIoverheid G4; veelgestelde vragen:

    1. Tot wanneer kan ik de huidige PKIoverheid G1 en G3 gebruiken?

    PKIoverheid G1 en G3 certificaten zijn uiterlijk geldig tot 12 november 2028. Op dit moment worden certificaten nog uitgegeven met een geldigheid tot 2 jaar. Sinds 12 november 2025 worden alleen nog certificaten voor 1 of 2 jaar worden uitgegeven.

    PKIoverheid G1 en G3 huidig gebruik

    Op dit moment worden PKIoverheid certificaten uitgegeven onder de Private Root G1 voor authentieke en versleutelde gegevensuitwisseling tussen servers/machines. Dat is veel breder dan het algemeen bekende gebruik voor Digipoort en Digilevering. Zie hiervoor ook de pagina toepassingen PKIoverheid

    Onder de Root G3 worden PKIoverheid certificaten uitgegeven voor het gebruik als gekwalificeerde elektronische handtekening voor het onweerlegbaar ondertekenen van van documenten/indieningen, voor het aanmelden op systemen, het ondertekenen van email (S/MIME) en voor versleuteling van informatie (encryptie).

    Voorbeelden van gekwalificeerd ondertekenen zijn de beroepsgebonden toepassingen voor notariaat, accountancy, gerechtsdeurwaarder, maar ook persoonsgebonden organisatie voor ondertekenen namens een organisatie of eHerkenning4. Daarnaast zijn er onder de G3 ook toepassingen voor burgers in bijvoorbeeld de onroerend goed keten.

     

    2. Wat is het verschil tussen PKIoverheid G1, G3 en G4 certificaten?

    PKIoverheid G4 certificaten bevatten een moderner cryptografisch algoritme voor het ondertekenen van alle certificaten en kunnen nog maar voor specifieke doeleinde gebruikt worden. Dus niet meer voor zowel authenticeren als digitaal ondertekenen bijvoorbeeld zoals bijvoorbeeld bij de hudige G1 server certificaten. De verschillen op een rijtje:

    • G4 bevat een moderner cryptografisch algoritme: RSASSA-PKCS1-v1_5 is vervangen door RSASSA-PSS;
    • Elk type eindgebruikerscertificaat is nog maar voor één doeleinde te gebruiken;
    • De naamgeving van zowel de eindgebruikerscertificaten als die van de bovenliggende hiërarchie is aangepast;
    • De sleutellengte is aangepast van miniaal 2048 bits naar minimaal 3072 bits.

    Al deze aanpassingen zijn in lijn met EU en de NCSC richtlijnen "Transport Layer Security (TLS) - Beveiligingsrichtlijnen versie 2025-05"

    Voor meer inhoud en achtergrondinformatie zie ook het overzicht van de verschillende overheid publicaties. 

    3. Heeft de transitie naar PKIoverheid G4 gevolgen voor gekwalificeerde elektronische handtekeningen?

    Ja, ook de gekwalificeerde elektronische handtekening zal na 12 november 2025 niet meer uitgeleverd kunen worden met een geldigheid van 3 jaar. Er zal een nieuwe (G4) variant komen, die voorzien is van een andere sleutellengte, ander algoritme en andere naamstellingen.

    Op dit moment is er nog geen tijdspad bekend voor het uitleveren van Trial en productiecertificaten bij de verschillende producenten. Abboneer je op de notificaties om geïnformeerd te worden als er ontwikkelingen zijn.

    Voorbeelden toepassing

    Gekwalificeerde elektronische handtekeningen (QES) worden op dit moment uitgegeven onder de G3 root en zijn opgenomen als 'gekwalificeerd vertrouwd'' in PDF generators/readers als Acrobat Reader.
    Bekende toepasingen zijn de (persoonsgebonden) beroepscertificaten voor bijvoorbeeld notarissen, accountants, gererechtsdeurwaarden en octrooigemachtigden. Daarnaast zijn er ook de toepassingen personen (medewerkers) die deze certificaten gebruiken voor het ondertekenen als functionaris namens een organisatie (zowel publiek als privaat). Een toepassing is het ondertekenen van een aanbestedingsdocument waarbij ook vereist is dat de organisatiegegevens van de ondertekenaar gekwalificeerd opgenomen zijn in de handtekening.

    Minder zichtbaar (bekend) zijn de gekwalificeerde elektronische handtekeningen die gebruikt worden voor services voor documentondertekening (eSeals). Deze worden toegepast in bijvoorbeeld het ondertekenen van gewaarmerkte uittreksels Kamer van Koophandel of het doen van opgaven voor EU European Product Database for Energy Labeling (EPREL) als handtekeningen namens een bedrijf/organisatie en niet namens een persoon.

    Een derde variant is het gekwalificeerde burgercertificaat. Deze variant komt in het bijzonder voor in de toepassing in hypotheekketens.

    Daarnaast zijn gekwalificeerde certificaten vereist als onderliggend vertrouwen voor eHerkenning 4 (het hoogste niveau eHerkenning)

    Vorm

    Een vereiste voor een gekwalificeerde elektronische handtekening is dat het gecreëerd (opgeslagen) is op een gekwalificeerd middel (QSCD). Meest bekend in de vorm van een chip op smartcard of USB stick. Er bestaat ook een 'mobiele variant' waarbij de ondertekening loopt vanaf een smartphone die het gekwalificeerd middel bij de gekwalificeerde vertrouwensdienstverlener aanroept.

    4. Kan ik al PKIoverheid G4 certificaten aanvragen?

    Nee en ....
    Op dit moment kunnen er nog geen Productie PKIoverheid G4 certificaten worden aangevraagd. De Trust Service Providers  zijn de productie aan het voorbereiden, waarna certificaten bij PKIpartners gekocht kunnen worden.

    ....ja
    De test in applicatie en ketens kunnen wel binnenkort beginnen. De TRIAL (test) PKIoverheid G4 server certificaten zijn bij PKIpartners ons beschikbaar.

    Voor nu is het advies om te abonneren op de notificaties om op de hoogte te blijven van de komst van de PKIoverheid G4 certificaten.

    5. Vertaaltabel PKIoverheid G1/G3 certificaten naar PKIoverheid G4

    G1 Private Services Server zonder domeinnamen
    (OID: 2.16.528.1.1003.1.2.8.6)
    => G4 Private Other Generic Legal Persons Organization Validated Authentication
    (OID: 2.16.528.1.1003.1.2.44.16.25.8)

    -----------------------
    G3 Organisatie Services Authenticiteit
    (OID: 2.16.528.1.1003.1.2.5.4)
    => G4 Private Other Generic Legal Persons Organization Validated Authentication
    (OID: 2.16.528.1.1003.1.2.44.16.25.8)

    -----------------------

    G1 Private Services Server met domeinnamen
    (OID: 2.16.528.1.1003.1.2.8.6)
    => G4 Private TLS Generic Devices Organization Validated Server
    (OID: 2.16.528.1.1003.1.2.44.15.35.11)

    -----------------------

    G3 Organisatie Services Onweerlegbaarheid
    (OID 2.16.528.1.1003.1.2.5.7)
    => G4 EUTL Organization Validated eSeal
    (OID: 2.16.528.1.1003.1.2.44.14.25.5)

    -----------------------

    G3 Organisatie Persoon Onweerlegbaarheid 
    (OID: 2.16.528.1.1003.1.2.5.2)
    => G4 EUTL Organization Validated eSeal
    (OID: 2.16.528.1.1003.1.2.44.14.25.5)

    ------------------------

    G3 Burger Onweerlegbaarheid
    (OID: 2.16.528.1.1003.1.2.3.2)
    => G4 EUTL Individual Validated eSignature
    (OID: 2.16.528.1.1003.1.2.44.14.11.5)

    Bron: Logius

    PKIoverheid G4

    6. Het nieuwe algoritme RSASSA-PSS (signature algorithm)

    Waarom een ander algoritme in PKIoverheid G4 dan in de huidige PKIoverheid G1 en G3?

    PKIoverheid certificaten moeten voldoen aan ETSI, welke refereert naar SOG-IS, daarin is
    RSASSA‐PKCS1‐v1_5 als legacy (verouderd) bestempeld.
    ! Zie ook FAQ "PKIoverheid G4 - RSASSA-PSS en TLS1.2 versus TLS1.3"

    Onderstaande lijst geeft de minimale versies aan waarvan volledige ondersteuning verwacht mag worden voor RSASSA-PSS. Ondersteuning werd vaak onder meerdere releases verspreid.
    Controleer en test daarom met PKIoverheid G4 TRIAL certificaten.

    OpenSSL 1.0.2 (2019)
    Apple* iOS 10.0 (2016)
    iPadOS 10.0 (2016)
    macOS 10.12 (2016)
    Mac Catalyst 13.1 (2016)
    tvOS 10.0 (2016)
    watchOS 3.0 (2016)
    visionOS 1.0 (2016)
    Adobe Acrobat (2017)
    Mozilla NSS v3.77 (2022)
    Firefox v100 (2022)
    Microsoft Azure KeyVault
    Windows Server (2008)
    .NET Core v1.0 (2014)
    .NET Framework v4.6 (2015)
    Java jdk 1.8.0_251 (2020)
    OpenJDK 8u252 (2020)
    BouncyCastle 1.73 (2020)
    Amazon CloudHSM
    AWS IoT Core
    IBM z/OS 2.5.0 (2023)
    F5 BIG-IP v12.1.0 (2016)

    * Apple ondersteunt het algoritme niet volledig voor roots en intermediates.

    Bron: Logius

    PKIoverheid G4

    7. PKIoverheid G4 - RSASSA-PSS en TLS1.2 versus TLS1.3

    • RSASSA-PSS wordt niet standaard ondersteund in TLS1.2 , maar toch vaak geïmplementeerd ("backported"). Test daarom goed! (TRIAL certificaten aanvragen)
    • RSASSA-PSS wordt standaard ondersteund in TLS1.3
    • Kijkend naar de toekomst; PQC (Post Quantum Cryptographie) vereist TLS1.3

    > Bron en advies Logius - PKIoverheid: "Voor nu: test of TLS1.2 implementatie fucntioneert. Lange(re) termijn: upgrade uitsluitend naar TLS1.3.

    8. Kan ik al PKIoverheid G4 test (Trial) certificaten aanvragen?

    Er zijn twee mogelijkheden om met TRIAL certificaten aan de gang te kunnen gaan voor de server toepassingen voor bijvoorbeeld Digipoort, Digilevering, DigiD, Digimelding, makelaar eHerkenning/ eIDAS. Deze TRIAL certificaten zijn noodzakelijk voor het kunnen doen van applicatie- en ketentesten.

    • Er is een testsuite via Logius zelf beschikbaar voor het zelf creëren van een Trial CA omgeving; maar dat is ingewikkeld om te doen, vraagt om diepgaande PKI kennis en je zult dan ook moeten worden opgenomen in de formele TRIAL PKIoverheid.
    • PKIpartners heeft dat proces doorlopen en op dit moment de enige organisatie die kant-en-klare testcertificaten levert. Die kan je kosteloos aanvragen op onze aanvraagpagina PKIoverheid TRIAL en deze zijn in lijn- en in samenwerking met Logius - PKIoverheid aangeboden. 

    9. Waar ik de 'losse' root- en intermediate certificaten TRIAL PKIoverheid en PKIpartners downloaden?

    Op de overzichtspagina van PKIoverheid staan alle uitgegeven PKIoverheid Root, intermediate en issueing certficifaten staan ook de TRIAL PKIoverheid PKIpartners certificaten gepubliceerd.

    https://cert.pkioverheid.nl/

    Bij de meest recente publicaties kunt je onderaan de juiste certficaten downloaden.

    weergave van de PKIoverheid certificaten PKIpartners TRIAL Root Intermediate Issueing

    crt.pkioverheid.nl

    10. PKI webcertificaten krijgen een kortere levensduur, is dit ook voor PKIoverheid van toepassing?

    De kortere levensduur is voorlopig nog niet van toepassing op PKIoverheid certificaten. Zodra de G4 certificaten beschikbaar zijn, kunnen wij uitleveren met een geldigheid van maximaal 3 jaar.

    Levensduur publieke TLS certificaten op de schop

    PKIoverheid is gebaseerd op de PKI (Public Key Infrastructure) standaarden, maar is onderdeel van een Private PKI; niet te gebruiken op het publieke internet.

    Publieke PKI certificaten die gebruikt worden op het internet en voor apps worden in stappen vanaf 15 maart 2026 tot en met 15 maart 2029 verkort qua levensduur. Van nu 398 dagen geldigheid naar 47 dagen na 15 maart 2029, te beginnen met 200 dagen na 15 maart 2026. Meer over deze aanpassingen, de achtergronden en impact kunt u lezen in ons artikel: 'Short lived certificates in aantocht, beheerder opgepast!'

    Enkel voor web PKI certificaten - nog niet voor PKIoverheid

    Op termijn is het mogelijk dat ook PKIoverheid kortere geldigheid krijgt om een antwoord te kunnen bieden tegen de dreiging vanuit bijvoorbeeld quantum computers. Maar naast kortere levensduur worden ook de opties onderzicht met andere algoritmen of grote sleutellengte.

     

    11. Zijn PKIoverheid certificaten als maatregel benoemd in BIO2?

    PKIoverheid en PKI certificaten zijn expliciet opgenomen en benoemd in de maatregelen uit de Baseline Informatiebeveiliging overheid 2 (BIO2) onder maatregel 5.12.04

    "Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving."

    De meest recente versie BIO2 kunt u vinden op BIO2 in Excel

    Toelichting: wat is een OV certificaat en de verschillen tussen
    DV - OV - EV - QWAC certificaten voor web en app

    Meer informatie over wat Organization Validated (OV)-certificaten zijn er welke informatie in OV certifiaten opgenomen, kunt u lezen op de pagina Website Authenticatie certficaten

     

    PKIoverheid G4

    Persoonlijke aandacht

    U kunt met alle PKI gerelateerde vragen terecht bij onze helpdesk waar vaste contactpersonen u graag te woord staan.

    PKIoverheid G4

    Continuïteit

    Wij monitoren uw certificaten actief en nemen ruim op tijd contact op voordat een certificaat verloopt. Zo blijft alles probleemloos functioneren.

    PKIoverheid G4

    Zekerheid

    U behoudt de regie, PKIpartners regelt de uitvoering. Wij zorgen dat u de juiste certificaten gebruikt voor de juiste toepassingen en ingericht volgens de meest actuele normen en regelgeving.

    PKIoverheid G4

    Beheer

    Wij nemen het beheer volledig uit handen zodat u en uw ketenpartners daar geen omkijken meer naar hebben.

    PKIoverheid G4

    Ondersteuning

    PKIpartners ondersteunt organisaties dat ze de juiste certificaten gebruiken voor de juiste toepassingen en ingericht volgens de meest actuele normen en regelgeving.

    PKIoverheid G4

    Agenda

    Webinars, bijeenkomsten, trainingen, nieuwe podcasts en publicaties.