PKIoverheid is de public key infrastructure (PKI) van de Nederlandse overheid. Net als elke andere PKI is het een afsprakenstelsel om digitale certificaten uit te geven en te beheren. PKIoverheid wordt beheerd door Logius.

PKIoverheid certificaathiërarchie.

Authenticiteit en encryptie

bewerken

Om vast te stellen of een systeem of een persoon inderdaad is die hij zegt dat hij is, kunnen certificaten gebruikt worden. Als men bijvoorbeeld wil internetbankieren via abnamro.nl, wil men graag weten dat dit niet een gekopieerde phishing-site is, maar echt de ABN AMRO bank is. Dit is mogelijk door in het SSL-certificaat te kijken. Hierin staat bijvoorbeeld dat het certificaat is uitgegeven door VeriSign. Feitelijk zegt men dus: Ik weet zeker dat het de echte ABN AMRO-site is, omdat de vertrouwde derde partij VeriSign dat zegt. Hierbij wordt gebruikgemaakt van een servercertificaat, zodat de klant (client) de bank (server) kan identificeren.

Andersom wil een bank (server) ook de klant (client) identificeren. Hiervoor gebruiken banken de betaalkaart i.c.m. een lezer. Een PKIoverheid-certificaat kan ook op bijvoorbeeld een smartcard zoals de Rijkspas worden gezet, waardoor een rechtsgeldige digitale handtekening kan worden gezet. Hierbij wordt dus gebruikgemaakt van een client-certificaat.

Daarnaast kunnen diezelfde certificaten gebruikt worden ten behoeve van encryptie van de (te transporteren) data.

Wettelijk

bewerken

Voortvloeiend uit o.a. de Wet Elektronische handtekening is o.a. de Telecommunicatiewet in artikel 18.15 aangepast, waarin het gebruik van certificaten wettelijk is geregeld. Citaat: 'Certificaten die als gekwalificeerd certificaat aan het publiek worden aangeboden of afgegeven, voldoen aan de eisen gesteld bij of krachtens algemene maatregel van bestuur.'

Verschil andere PKI's

bewerken

Qua techniek is PKIoverheid identiek aan een andere PKI. Een groot verschil is de technische hoogste autoriteit (root CA). In een commerciële PKI-variant is dat bijvoorbeeld VeriSign. Bij PKIoverheid is dat de Staat der Nederlanden. De Nederlandse overheid is verantwoordelijk voor het stamcertificaat op de root CA, waardoor PKIoverheid niet afhankelijk is van (buitenlandse) commerciële partijen. PKIoverheid is een stelsel van voorwaarden voor het uitgeven van certificaten. Commerciële CA's (Trust service provider genoemd - TSP-) kunnen aansluiten bij PKIoverheid. De CA van deze TSP wordt dan opgenomen in de hiërarchie van PKIoverheid. PKIoverheid geeft zelf geen eindgebruikerscertificaten uit, alleen certificaten aan de TSP's. PKIoverheid stelt voorwaarden voor uitgifte van certificaten. Deze zijn overeenkomstig aan de voorwaarden voor gekwalificeerde certificaten. Een van die voorwaarden is dat de aanvrager fysiek zijn gezicht moet laten zien (identificeren) bij bijvoorbeeld een notaris. Deze voorwaarden gelden niet alleen voor de persoonsgebonden certificaten, maar ook voor de certificaten op organisatieniveau. PKIoverheid streeft naar één hoog betrouwbaarheidsniveau voor alle certificaattypen.

Gebruik

bewerken

Bij een aantal (overheids) diensten, zoals DigiD, Digikoppeling en e-Factureren[1], kunnen PKIoverheid-certificaten worden gebruikt. Afhankelijk van de specifieke toepassing, zijn deze zelfs verplicht[2]. Er is geen algemeen beleid dat een PKIoverheid-certificaat verplicht is.[3]

Uitgifte

bewerken

De uitgifte van certificaten doet Logius niet zelf, maar wordt gedaan door een gecertificeerde ‘Trust Service Provider’ (TSP) of ‘Certificaat Dienstverlener’[4]. Wildcard certificaten worden niet uitgegeven onder PKIoverheid, maar er mogen wel Subject Alternative Name (SAN) velden gebruikt worden in PKIoverheid certificaten. Hierdoor kunnen meerdere subdomeinen in één certificaat worden ondergebracht.[5]

Onder PKIoverheid worden ook uitgebreid gevalideerde certificaten (Extended Validation Certificates) uitgegeven. Bij een geldig EV-certificaat verscheen in het verleden een groene balk in de adresbalk. Tevens worden er PKIoverheid Qualified Website Authentication Certificates (QWAC certificaat) uitgegeven, die aan de eIDAS verordening voldoen.

Vertrouwen

bewerken

Als gevolg van een reeks digitale inbraken in de systemen van een van de Certificaatautoriteiten, DigiNotar[6] kon de betrouwbaarheid van de certificaten die uitgegeven waren door dit bedrijf (onder de PKIoverheid-root), niet meer gegarandeerd worden en werden alle certificaten van DigiNotar in 2011 ingetrokken. Dit had grote gevolgen voor de beschikbaarheid van diverse elektronische communicatiesystemen van de overheid[7], zoals DigiD, de RDW, het Kadaster en de Belastingdienst.

Beëindiging

bewerken

Op 2 augustus 2021 heeft Logius aangekondigd dat door de staatssecretaris van BZK is besloten te stoppen met de uitgifte van publiek vertrouwde certificaten.[8]

Redenen die hiervoor worden gegeven zijn onder andere dat Nederland als enige EU-land een eigen CA onderhoudt, waarbij er zich in 2020 enkele incidenten hebben voorgedaan[9] en dat de uitgifte minstens zo goed en goedkoper kan worden gedaan door commerciële partijen. De overige dienstverlening die onder PKIoverheid valt, wordt ongewijzigd doorgezet.

bewerken