De ict-afdeling van het ministerie van Binnenlandse Zaken, Logius, werkt aan een plan om PKIoverheid-certificaten te laten vervangen die niet meer aan de eisen voldoen. Het gaat om maximaal 14 tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten, zo heeft staatssecretaris Knops van Binnenlandse Zaken vandaag aan de Tweede Kamer laten weten.

Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten. Deze certificaten worden binnen het “Public Key Infrastructure” (PKIoverheid) stelsel op drie niveaus uitgegeven: een rootcertificaat, tussenliggende certificaten en eindgebruikerscertificaten. Eindgebruikerscertificaten zijn onderverdeeld in servercertificaten en persoonsgebonden certificaten.

Logius is verantwoordelijk voor de uitgifte van het rootcertificaat en de tussenliggende certificaten. Eindgebruikerscertificaten worden door publieke en private certificaatverstrekkers uitgegeven. Onlangs werd bekend dat certificaatautoriteiten een fout hebben gemaakt bij het genereren van certificaten. De standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. De certificaatautoriteiten hebben echter certificaten met 63-bit serienummers uitgegeven. Dit kwam door een standaardinstelling van de gebruikte uitgiftesoftware EJBCA.

Volgens Knops is er geen sprake van een beveiligingsprobleem, maar moeten de Nederlandse certificaten wel worden vervangen. Logius heeft de verstrekkers van de te vervangen certificaten inmiddels ingelicht en werkt op dit moment aan een plan voor de vervanging. De vervanging zal gefaseerd plaatsvinden, waarbij alle certificaten in kwestie binnen 14 maanden vervangen zouden moeten zijn. “Deze tijd is nodig vanwege het grote aantal nieuw uit te geven certificaten en de zorgvuldige procedure die voor de uitgifte van certificaten geldt”, aldus Knops. De staatssecretaris merkt verder op dat er voor het vervangingsplan en de termijn ook in internationaal verband draagvlak wordt gezocht.