Organisaties die digitale certificaten gebruiken om veilige communicatie en datauitwisseling te waarborgen, staat een belangrijke verandering te wachten. De nieuwste generatie PKIoverheid-certificaten van overheidsdienst Logius is nu beschikbaar, en vervangt de huidige G3 en G1 Private certificaten.
PKIoverheid-certificaten worden verstrekt door Logius, onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Ze zorgen (o.a. door encryptie) voor beveiligde verbindingen met websites en diensten en voor verificatie van digitale handtekeningen. Organisaties gebruiken ze voor alles, van veilige e-mailcommunicatie tot de authenticatie van systemen en gebruikers.
Deze overgang is niet alleen een kwestie van compliance, ze zijn immers niet in elke situatie verplicht. Het biedt echter ook een kans voor bedrijven hun digitale veiligheid te versterken en zich voor te bereiden op de toekomst van cybersecurity. Uitgifte ervan doet de overheid doorgaans niet zelf, dat gebeurt via zogeheten Trust Service Providers (TSP’s). Bijvoorbeeld commerciële partijen als KPN, QuoVadis en Digidentity.
De nieuwe G3+ en G4 certificaten zijn een stuk veiliger dan de huidige G1 en G3-certificaten (G2 was er ook ooit, maar die is al uitgefaseerd). De G4-certificaten zijn gebaseerd op vier rootcertificaten in plaats van twee, wat de veiligheid en flexibiliteit vergroot. De rootcertificaten zijn elk namelijk gericht op een specifiek gebruiksscenario, wat anders is dan bij G3, waarbij één rootcertificaat meerdere doeleinden moest ondersteunen.
Gemakkelijker te beheren
Omdat de rootcertificaten nu elk voor specifieke doeleinden geschikt zijn zoals serverauthenticatie, digitale handtekeningen en e-mailbeveiliging, zijn ze niet alleen veiliger, maar ook gemakkelijker te beheren. Beheerders hoeven namelijk niet meer te bepalen welke doeleinden een enkel certificaat moet dienen, wat het risico op verkeerd gebruik of configuratieproblemen verkleint. Bovendien moet de komst van een nieuw cryptografisch algoritme beter beschermen tegen toekomstige dreigingen.
Sinds september 2024 waren door nieuwe regelgeving G3-certificaten overigens al niet meer bruikbaar voor het beveiligen van e-mail (S/MIME). Om dit toch mogelijk te maken, is een speciale versie van de G3-certificaten geïntroduceerd: G3+. Deze ’tussenvorm’ is alleen bedoeld voor het beveiligen van e-mail, maar mag niet worden geleverd op apparaten zoals smartcards of tokens. Organisaties hoeven niet meteen over te stappen op G3+ of G4, de huidige G3-certificaten blijven nog vier jaar geldig tot november 2028, maar eerder overstappen is veiliger.
G4-certificaat: welke vier rootcertificaten zijn er?
Het S/MIME-certificaat is bedoeld voor het beveiligen van e-mail en is publiek vertrouwd. EU-gekwalificeerde digitale handtekeningen zijn juridische handtekeningen die voldoen aan de Europese normen voor elektronische ondertekening. Serverauthenticatie is voor het beveiligen van websites en andere servers en is privaat vertrouwd. Ten slotte is er het Overige-certificaat, ook privaat vertrouwd, dat vooral bedoeld is voor authentificatiedoeleinden binnen netwerken en systemen.
Wat is het verschil tussen publiek en privaat vertrouwde certificaten?
Publiek vertrouwde certificaten zijn automatisch erkend door grote softwarebedrijven en browsers, waardoor ze geschikt zijn voor toepassingen zoals websites en e-mail. Privaat vertrouwde certificaten worden alleen erkend door de organisatie die ze gebruikt of uitgeeft. Dat biedt meer controle, maar betekent ook automatisch minder vertrouwen van externe systemen.
Het gebruik van deze certificaten is niet voor iedereen verplicht. Ze zijn vereist in situaties waar digitale veiligheid wettelijk of contractueel is vastgelegd, zoals bij het verwerken van online belastingaangiftes of persoonsgegevens. Voor andere bedrijven is het gebruik van PKIoverheid-certificaten meer een kwestie van best practice dan een verplichting.
In sectoren als de financiële dienstverlening, zorg en logistiek zijn ze vaak onderdeel van standaard beveiligingsprotocollen. Maar als je bijvoorbeeld een eenvoudige webshop runt zonder gevoelige klantgegevens te verwerken, is een standaard SSL-certificaat mogelijk al voldoende. Het is belangrijk om dit zelf te onderzoeken!
Waar staat PKI voor?
De PKI in de naam PKIoverheid-certificaten staat voor Public Key Infrastructure, een systeem van hardware, software, beleidsregels en procedures in gebruik voor veilige digitale communicatie en gegevensuitwisseling.
PKIoverheid-certificaten zijn specifieke certificaten die vallen onder het afsprakenstelsel van de Nederlandse overheid. Ze voldoen aan specifieke eisen die gelden voor Nederlandse overheden, bedrijven en burgers en zijn wereldwijd vertrouwd door grote softwareleveranciers als Microsoft, Apple en Google.
Lees ook: RDI start taak Nationale Cybersecurity Certificeringsautoriteit (NCCA)