Logius schroeft beveiliging sites en servers overheid op

Logius, de ICT-afdeling van het ministerie van Binnenlandse Zaken, gaat in de komende 14 maanden duizenden PKIoverheid-certificaten vervangen. De huidige certificaten voldoen lang niet allemaal aan de veiligheidseisen. 

Slotje
Overheidsdiensten maken voor hun digitale dienstverlening gebruik van certificaten die de veiligheid en betrouwbaarheid van een dienst waarborgen. Burgers kunnen bijvoorbeeld aan de hand van zo’n certificaat in hun internetbrowser zien dat zij met een authentieke website van de overheid te maken hebben. Dit is te herkennen aan het slotje in de adresbalk. De certificatien vallen binnen het zogenaamde ‘Public Key Infrastucture”-stelsel, kortweg PKIoverheid. In feite bestaat het stelsel uit drie soorten certificaten: stamcertificaten, tussenliggende certificaten en eindgebruikerscertificaten. De eerste twee worden namens de Nederlandse staat uitgegeven door Logius. De eindgebruikerscertificaten worden geleverd door publieke en private partijen.

Eisen opgeschroefd

Op 11 maart jl. heeft Logius vastgesteld dat certificaten die voor digitale dienstverlening van de Nederlandse overheid worden gebruikt, vervangen moeten worden. Ze voldoen niet meer aan de eisen. De minimale eisen die aan deze certificaten worden gesteld, worden in een internationale gemeenschap afgestemd en afgesproken. Deze gemeenschap bestaat uit internetbrowsers, verstrekkers van certificaten en toezichthouders. Met name de grote internetbrowsers (Mozilla, Apple, Microsoft en Google) hebben hier een krachtige stem, omdat zij veiligheid van hun browsers voor eindgebruikers willen garanderen. Zij laten daarom alleen maar diensten op hun browsers toe die voldoen aan deze minimale eisen. Op 9 maart heeft deze gemeenschap een strengere uitleg van de technische eisen gepubliceerd. Op basis daarvan is Logius tot de conclusie gekomen dat er veel certificaten zijn uitgegeven, met name tussen 30 september 2016 en 5 maart 2019, die niet aan deze eisen voldoen.  

Risico

Dat hoeft overigens niet te betekenen dat websites en servers met deze certificaten onveilig zijn. Wel lopen ze in theorie een groter risico wanneer ze niet aan de strengere uitleg voldoen. Dat kan schadelijk zijn voor het vertrouwen in de Nederlandse certificaten. Daarom gaat Logius maximaal 14 tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten vervangen. Dit zal zo’n 14 maanden in beslag nemen, meldt staatssecretaris Kops van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer.