Brief regering : Vervanging certificaten PKIoverheid
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 599 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 22 maart 2019
Op 11 maart jl. heeft Logius, onderdeel van het Ministerie van Binnenlandse Zaken
en Koninkrijksrelaties, vastgesteld dat certificaten die voor digitale dienstverlening
van de Nederlandse overheid worden gebruikt, vervangen moeten worden. Met deze brief
informeer ik u over de aanleiding daarvan en de wijze waarop de vervanging georganiseerd
wordt.
Aanleiding vervanging digitale certificaten
Overheidsdiensten maken voor hun digitale dienstverlening gebruik van certificaten
die de veiligheid en betrouwbaarheid van een dienst waarborgen. Burgers kunnen bijvoorbeeld
aan de hand van zo’n certificaat in hun internetbrowser zien dat zij met een authentieke
website van de overheid te maken hebben; dit is te herkennen aan het slotje in de
adresbalk.
Deze certificaten worden op drie niveaus uitgegeven binnen het zogenaamde stelsel
«Public Key Infrastructure» (PKIoverheid): een stamcertificaat, tussenliggende certificaten
en eindgebruikerscertificaten. Eindgebruikerscertificaten zijn onderverdeeld in servercertificaten
en persoonsgebonden certificaten. De uitgifte van certificaten binnen het stelsel
vindt plaats onder de verantwoordelijkheid van de Nederlandse overheid. Logius geeft
namens de Staat der Nederlanden het stamcertificaat uit, en als toezichthouder op
het stelsel de tussenliggende certificaten. Zowel het stamcertificaat als de tussenliggende
certificaten zijn bij Logius in beheer. Eindgebruikerscertificaten worden geleverd
door publieke en private certificaatverstrekkers1.
De minimale eisen die aan deze certificaten worden gesteld, worden in een internationale
gemeenschap afgestemd en afgesproken. Deze gemeenschap bestaat uit internetbrowsers,
verstrekkers van certificaten en toezichthouders. Met name de grote internetbrowsers
(Mozilla, Apple, Microsoft en Google) hebben hier een krachtige stem, omdat zij veiligheid
van hun browsers voor eindgebruikers willen garanderen. Zij laten daarom alleen maar
diensten op hun browsers toe die voldoen aan de minimale eisen. Naast een veilig en
betrouwbaar internet streven de internetbrowsers ook volledige transparantie na. Afspraken
over eisen worden gemaakt en aangepast via het openbare internetforum van deze internationale
gemeenschap.
Op 9 maart jl. is door de genoemde gemeenschap een strengere uitleg van één van de
technische eisen gepubliceerd. Logius monitort als toezichthouder actief op aanpassingen
in de gestelde eisen. Op 11 maart jl. heeft Logius op basis van de publicatie uitvraag
gedaan onder verstrekkers van certificaten binnen het stelsel. Hierop is vastgesteld
dat een deel van de tussen 30 september 2016 en 5 maart 2019 uitgegeven certificaten
niet voldoet aan deze strengere uitleg. Logius heeft daarop onderzocht welke certificaten
daadwerkelijk vervangen moeten worden. Het betreft tussenliggende en eindgebruikerscertificaten.
Het niet voldoen aan deze strengere uitleg betekent overigens niet dat het gebruik
van bijvoorbeeld een website met zo’n certificaat onveilig is. Er is geen sprake van
een beveiligingsprobleem. Om het vertrouwen in de Nederlandse certificaten internationaal
te behouden, moeten deze wel aan die strenger uitgelegde eis gaan voldoen. Daartoe
moeten deze vervangen worden.
Te nemen stappen
De verstrekkers van de te vervangen certificaten zijn door Logius als toezichthouder
geïnformeerd over het niet voldoen aan de strenger uitgelegde eis. Op dit moment werkt
Logius een plan voor deze vervanging uit. Logius heeft aangekondigd dat maximaal 14
tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten
vervangen moeten worden. Belangrijke uitgangspunten bij de vervanging zijn het borgen
van vertrouwen in de certificaten en continue beschikbaarheid van onze online diensten.
De vervanging wordt gefaseerd uitgevoerd, waarmee de uitvoerbaarheid en zorgvuldigheid
worden gewaarborgd.
Logius streeft ernaar binnen 14 maanden de certificaten te laten vervangen. Deze tijd
is nodig vanwege het grote aantal nieuw uit te geven certificaten en de zorgvuldige
procedure die voor de uitgifte van certificaten geldt. De certificaatverstrekkers
informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten
worden.
Voor het vervangingsplan en de termijn wordt ook in internationaal verband draagvlak
gezocht. Het kunnen uitvoeren van het beoogde vervangingsplan is namelijk afhankelijk
van acceptatie door de internationale gemeenschap. Dit volgt uit de wijze waarop dit
stelsel is georganiseerd, zoals ik eerder in deze brief heb toegelicht.
Tot slot
Ik benadruk dat de veiligheid van de huidige certificaten niet in het geding is. Burgers
kunnen veilig digitaal zaken met de overheid doen. Met het vervangen van de certificaten
die niet aan de strenger uitgelegde eis voldoen, blijft het vertrouwen in de digitale
diensten van de Nederlandse overheid ook in de toekomst gewaarborgd. Ik zal uw Kamer
nader informeren over de uitvoering van het vervangingsplan.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops
Ondertekenaars
-
Eerste ondertekenaar
R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties