|
Er zijn belangrijke wijzigingen op komst voor PKIoverheidcertificaten. Deze worden vanaf januari 2011 alleen nog geleverd vanuit een nieuwe Root van de Staat der Nederlanden: de G2-root. Deze wijzigingen kunnen gevolgen hebben voor het gebruik van certificaten en derhalve voor de dienstverlening.
U gebruikt bijvoorbeeld elektronische certificaten van Diginotar, bijvoorbeeld voor ondertekening van documenten, beveiliging van e-mails of voor identificatie van uw website. Een certificaat bevat uw identiteitsgegevens en is getekend met de elektronische handtekening van DigiNotar. Tot zover blijft alles hetzelfde.
Wat gaat er veranderen?
De handtekening die gezet wordt over het certificaat zal met een verbeterde en meer veilige techniek worden uitgevoerd: de zogenaamde "SHA-256". Tevens zal de sleutellengte minimaal 2048 bits zijn. De certificaten worden ook uit een nieuwe "Root" of "hiërarchie" geleverd. Hierin hebben de Root Certificaten zelfs een sleutellengte van 4096 bits.
Waarom?
Een certificaat heeft een levensduur van ongeveer 4 jaar. Gedurende deze tijd moet de handtekening betrouwbaar blijven. Organisaties zoals DigiNotar en PKIoverheid volgen de aanbevelingen van internationaal erkende beveiligingsexperts van het NIST. Deze hebben aangegeven dat de betrouwbaarheid van het huidige toegepaste SHA-1 afneemt vanaf begin 2011. Zij bevelen aan dat in de periode 2011 tot 2015 organisaties overstappen naar de nieuwste veilige technologie.
Alle Certificaten?
DigiNotar levert verschillende soorten certificaten. Alle certificaten van PKIoverheid zullen uiterlijk 1 januari 2011 zijn voorzien van de SHA-256 techniek en minimaal 2048 sleutellengte. Zowel de PKIoverheid services certificaten en SSL certificaten als ook de persoonlijke certificaten op USB of smartcard. PKIoverheid is een landelijke standaard en heeft invoering per 1 januari 2011 voor alle uitgevende partijen, zoals DigiNotar, verplicht gesteld.
De overige DigiNotar certificaten zoals de Beroepscertificaten en envelopcertificaten worden wel per 1 januari 2011 voorzien van de minimale sleutellengte maar nog niet van de SHA-256 technologie.
Wat merk ik ervan?
Met een beetje geluk merkt u helemaal niets, maar in het ergste geval werkt echter uw toepassing die gebruik maakt van certificaten in het geheel niet meer. Toepassingen of programma's die met certificaten werken, moeten met deze nieuwe technologie overweg kunnen. Toepassingen zijn:
- uw webserver die SSL certificaten gebruikt (Windows server, Apache, etc.);
- uw mailclient waarmee u e-mails ondertekent (Outlook, etc.);
- uw operating system dat hiermee samenwerkt (windowsXP, Vista, etc.);
- uw ondertekeningprogrammatuur in uw Document Management System (PDF Sign&Seal, DMS, etc.);
- uw eigen maatwerk toepassing die met certificaten werkt.
Niet alleen moet programmatuur kunnen werken met de nieuwe SHA-256 technologie, ook moet er rekening mee worden gehouden dat deze certificaten uit een nieuwe "ROOT CA" geleverd worden. Deze is reeds standaard opgenomen in de meest populaire browsers en standaard software, echter dient wellicht ook in uw eigen "trustlist" te worden opgenomen.
Hoe kan ik problemen voorkomen?
Wij bevelen aan dat u tijdig een inventarisatie maakt van uw toepassingen waarin certificaten (of in het algemeen PKI) wordt toegepast. Van standaard software is een inventarisatie beschikbaar die aangeeft of deze software met SHA-256 overweg kan. De link naar deze inventarisatie treft u aan op de website van DigiNotar. Tevens bevelen wij aan de nieuwe SHA-256 technologie te testen in uw omgeving. DigiNotar heeft hiertoe een aantal standaard testcertificaten beschikbaar, aan te vragen via de website. Vanaf medio september is het mogelijk om nieuwe SHA-256 certificaten aan te vragen.
Wanneer beginnen?
NU! Organisaties hebben nog een aantal maanden de tijd om zekerheid te krijgen dat alles goed blijft werken na introductie van SHA-256. Om verrassingen te voorkomen, kunt u nu beginnen met uw inventarisatie en test. Dan heeft u tijd genoeg om nog eventuele upgrades van producten door te voeren of - in het ergste geval - enige software aan te passen.
En mijn oude certificaten?
Die blijven gewoon geldig. U hoeft geen certificaten om te ruilen. Tot uiterlijk december 2010 blijft DigiNotar de bestaande certificaten uitgeven. Tot die tijd kunt u kiezen voor de nieuwe SHA-256 certficaten of voor de bestaande. Na 1 januari 2011 is deze keuze niet meer mogelijk. Vanaf dat moment is alleen levering van SHA-256 mogelijk. Sommige projecten, zoals eHerkenning, stellen per 1 januari het gebruik van G2-certificaten direct verplicht.
Is er nog meer veranderd?
Ja, DigiNotar is reeds begonnen met het uitleveren van een nieuw soort USB stick en Smartcard die zijn voorbereid op de nieuwe sleutellengte van 2048. Van deze wijziging merkt u niets als u de juiste versies toepast van SafeSign en bijbehorende drivers. Raadpleeg hiervoor onze installatiepagina.
Mag ik wat vragen?
We kunnen ons voorstellen dat er nog vragen zijn. Neem u gerust contact op met onze KlantenService, zij helpen u graag verder. Stel uw vraag bij voorkeur per email. Ook uw vaste contactpersoon of accountmanager helpt u graag verder.
Test certificaat
Wij hebben een TEST PKIoverheid G2 gerealiseerd, gebaseerd op het nieuwe algoritme. Voor slechts 50 euro kunt u een testcertificaat aanvragen waarmee u als organisatie de gevolgen kunt testen van het gebruik van de nieuwe PKIoverheid certificaten. U kunt dan de nodige maatregelen treffen.
Meer informatie
Op onze website vindt u meer achtergrondinformatie, alle links naar de hierboven beschreven onderwerpen en aanvraagformulieren voor het aanvragen van testcertificaten. Ga hiervoor naar http://sha2.diginotar.nl/
|
terug
