Certificate Policy. van. OCW Digitaal Onderwijs Certificaat

Transcriptie

1 Certificate Policy van OCW Digitaal Onderwijs Certificaat Datum: 20 oktober 2015 Definitief (versie 2.0) OCW wordt als entiteit uniek geïdentificeerd door OCW root CA Domein OCW_DOC OCW_DOC CA DUO CA OCW_DOC Onderwijsinstellingen OCW_DOC Onderwijsgerelateerde Instellingen DUO extern facing DUO intern facing Domein OCW Digitaal Onderwijs Certificaat (OCW_DOC): CP OID OCW_DOC Server Certificaten voor Onderwijsinstellingen OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen

2 Inhoudsopgave 1. Introductie OCW Server certificaten CA model PKI voor OCW Doel en identificatie van de Certificate Policy (CP) Verhouding tussen CP en Certificate Practice Statement (CPS) Betrokken partijen Certification Authority (CA) Registration Authority (RA) Abonnees, certificaathouders en certificaatbeheerders Vertrouwende Partijen Gebruikersgemeenschap Certificaatgebruik Waarborgen Controle betrouwbaarheid Beheer CP Definities en afkortingen Publicatie en verantwoordelijkheid voor elektronische opslagplaats Elektronische opslagplaats Publicatie van CSP-informatie Toegang tot gepubliceerde informatie Identificatie en authenticatie Naamgeving Soorten naamformaten Noodzaak gebruik betekenisvolle namen Pseudoniemen Regels voor het interpreteren van verschillende naamvormen Uniciteit van namen Erkenning, authenticatie en de rol van handelsmerken Unieke serienummers in relatie tot OIN en Edukoppeling Initiële identiteitsvalidatie Methode om bezit private sleutel aan te tonen Authenticatie van organisatorische eenheid Authenticatie van persoonlijke identiteit Niet geverifieerde gegevens Autorisatie certificaatbeheerder Identificatie en authenticatie bij vernieuwing van een certificaat Routinematige vernieuwing van een certificaat Vernieuwing van sleutels na intrekking van een certificaat Identificatie en authenticatie bij intrekking van een certificaat Operationele eisen Aanvraag van certificaten Werkwijze bij aanvraag certificaten Risicoklasse: - I Status: Definitief 2 / 40

3 4.3 Uitgifte van certificaten Acceptatie van certificaten Sleutelpaar en certificaatgebruik Verplichtingen van abonnee en certificaatbeheerder Verplichtingen van vertrouwende partij Vernieuwen van certificaten Re-Key van certificaten Aanpassing van certificaten Intrekking en opschorting van certificaten Omstandigheden die leiden tot intrekking Wie mag verzoek tot intrekking indienen Procedure voor verzoek tot intrekking Periode waarbinnen verzoek tot intrekking ingediend moet worden Tijdsduur voor verwerking van verzoek tot intrekking Controlevoorwaarden bij raadplegen certificaat statusinformatie Frequentie uitgifte Certificate Revocation List (CRL) Tijd tussen generatie en publicatie van de CRL Beschikbaarheid online intrekking- / statuscontrole Vereisten online intrekking- / statuscontrole Beschikbaarheid van andere vormen van intrekking/statusinformatie Bijzondere eisen ten aanzien van sleutel compromittatie Certificaatopschorting Certificaat statusdienst Operationele eigenschappen Beschikbaarheid certificaat statusservice Optionele kenmerken van de certificaatstatusservice Beëindiging abonneerelatie Key escrow en key recovery Management, operationele en fysieke beveiligingsmaatregelen Procedurele beveiliging Rollen die functiescheiding behoeven Beheer en beveiliging Personele beveiliging Geheimhoudingsverklaring Vakkennis, ervaring en kwalificaties Antecedentenonderzoek Procedures ten behoeve van beveiligingsaudits Vastlegging van gebeurtenissen Bewaartermijn voor logbestanden Archivering van documenten Vastlegging van gebeurtenissen Bewaartermijn archief Aantasting en continuïteit Procedures voor afhandeling incidenten en aantasting Continuïteit van de bedrijfsvoering na calamiteit Technische beveiliging Genereren en installeren van sleutelparen Genereren van sleutelparen voor de CSP sub CA Risicoklasse: - I Status: Definitief 3 / 40

4 6.2 Private sleutelbescherming en cryptografische module engineering beheersmaatregelen Escrow van private sleutels van certificaathouders Back-up van private sleutels van certificaathouders Archivering van private sleutels van certificaathouders Andere aspecten van sleutelpaarmanagement Gebruiksduur voor certificaten en publieke en private sleutels Activeringsgegevens Genereren en installeren van activeringsgegevens Logische toegangsbeveiliging van CSP-computers Specifieke technische vereisten aan computerbeveiliging Netwerkbeveiliging Netwerkbeveiliging Certificaat-, CRL- en OCSP-profielen Certificaatprofielen CRL-profielen OCSP-profielen Conformiteitbeoordeling Algemene en juridische bepalingen Financiële verantwoordelijkheid en aansprakelijkheid Intellectuele eigendomsrechten Aansprakelijkheid Beperkingen van aansprakelijkheid Wijzigingen Geschillenbeslechting Van toepassing zijnde wetgeving Risicoklasse: - I Status: Definitief 4 / 40

5 1. Introductie 1.1 OCW Server certificaten Het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) implementeert een eigen Public Key Infrastructuur (PKI) genaamd OCW_DOC, waarmee Server certificaten worden uitgegeven voor beveiligde, machine-2-machine communicatie tussen alle organisaties in het onderwijsveld die op een geautomatiseerde wijze interactie hebben. Deze OCW_DOC Server Certificaten maken betrouwbare informatie-uitwisseling mogelijk in de onderwijsketens. Deelnemers zijn alle partijen in het onderwijsveld die betrokken zijn bij uitwisseling van onderwijsgegevens. Tot deze partijen behoren onder meer onderwijsinstellingen en onderwijs gerelateerde instellingen waaronder gemeenten, administratiekantoren, Surf, Kennisnet, uitgevers en leerbedrijven. De eindverantwoordelijkheid van de OCW_DOC Server Certificaten uitgevende instantie (Certificate Service Provider (CSP)) is belegd bij de Dienst Uitvoering Onderwijs (DUO). Voor OCW_DOC gelden de PKIoverheid eisen als richtlijn; waar mogelijk wordt geconformeerd aan de eisen die PKI voor de overheid stelt, om deze gelijk te laten zijn aan de standaarden binnen de overheid. Er wordt niet tegen PKIoverheid gecertificeerd, maar de techniek en processen van PKIoverheid zijn leidraad voor OCW_DOC, opdat deze zo toekomst vast mogelijk is. 1.2 CA model PKI voor OCW De PKI voor OCW kent een structuur die vergelijkbaar is met die van de PKI voor de overheid, waarbij een centraal en een uitvoerend c.q. lokaal deel van de PKI voor OCW is gedefinieerd. CPS Policy Authority Overkoepelend Overheidsniveau en Domeinniveau OV-PA 1. CPS Policy Authority Domein Overheid / Bedrijven en Organisatie OCW-PA D-PA D-PA OCW digitaal certificaat PA DUO PA 3. CSP CA & RA CSP CA & RA OCW digitaal certificaat CA & RA DUO CA & RA Certificaathouder Certificaathouder Certificaathouder Certificaathouder PvE: deel 3: Certificate Policies CSP-niveau Certificate Policies CSP-niveau Figuur 1 - CA model PKIoverheid (links) en CA model OCW_DOC (rechts) Risicoklasse: - I Status: Definitief 5 / 40

6 Binnen het centrale deel van de PKI voor OCW wordt net als bij de PKI voor de overheid een aantal actoren onderscheiden. Deze actoren zijn (zie Figuur 1 (rechts)): 1. de OCW-Policy Authority (OCW-PA), op het hoogste niveau verantwoordelijk voor het vaststellen van het beleid en normen van algemene aard die gelden binnen de PKI voor OCW en uitgifte van certificaten; 2. de OCW-Certificate Authority (OCW-CA), betreffen een technisch component die het hoogste (of root) certificaat produceert binnen de PKI voor OCW en certificaten produceert voor de onderliggende domein CA s (zie bij 4): OCW_DOC en DUO; 3. de domein PA s: OCW_DOC-PA respectievelijk DUO-PA, die de domein specifieke invulling van de normen van de OCW-PA verzorgt, en de voorwaarden van uitgifte van certificaten binnen dat domein vaststelt; 4. de domein CA s: OCW_DOC CSP CA en DUO CSP CA, betreffen een technisch component die de feitelijke productie van certificaten voor de CSP s verricht. Het overkoepelende ministeriële niveau en het domeinniveau vormen de beleidsstructuur van de PKI. Binnen deze niveaus worden beleid en normen vastgesteld en wordt het toezicht georganiseerd. 1.3 Doel en identificatie van de Certificate Policy (CP) Een Certificate Policy (CP) is een benoemde set van regels die de toepasselijkheid van een certificaat voor een bepaald publiek en/of categorie van toepassingen met gelijke beveiligingseisen beschrijft. Dit CP beschrijft onder welke voorwaarden en waarvoor de benoemde OCW Server Certificaten mogen worden uitgegeven, beheerd en gebruikt. Het stelt daarmee eisen aan de betrokken partijen en waarborgt daardoor het door OCW vastgestelde betrouwbaarheidsniveau. Dit CP is van toepassing op de Server Certificaten die binnen het domein OCW_DOC worden uitgegeven, waarbij de certificaathouder een apparaat/systeem is (een niet-natuurlijke persoon). Het nummer dat door het Normaliseringsinstituut aan het ministerie van Onderwijs Cultuur en Wetenschap (OCW) is toegekend is: {joint-iso-itu-t(2) country(16) nl(528) nederlandse-organisatie(1) minocw(1015)}. Dit als volgt opgebouwd: Categorie Nummer JOINT-ISO-ITU-T 2 Country 16 Netherlands 528 Organisation 1 Ministerie van Onderwijs Cultuur en Wetenschappen 1015 Risicoklasse: - I Status: Definitief 6 / 40

7 Dit leidt dus tot het volgende publieke dotted OID voor OCW: In certificaten is een OID opgenomen waarin wordt verwezen naar het van toepassing zijnde CP aan welke voorwaarden dient te worden voldaan. Elke CP wordt uniek geïdentificeerd door een OID, conform het volgende schema Domein OCW_DOC: OID CP OCW_DOC Server Certificaten voor Onderwijsinstellingen Deze Certificaten zijn bestemd voor onderwijsinstellingen die moeten voldoen aan de onderwijswet voor alle toepassingsgebieden in het onderwijsveld waar beveiligde communicatie tussen partijen vereist is OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen Deze Certificaten zijn bestemd voor onderwijs gerelateerde instellingen voor alle toepassingsgebieden in het onderwijsveld waar beveiligde communicatie tussen partijen vereist is. De OID is als volgt opgebouwd: {joint-iso-itu-t (2). country (16). nederland (528). nederlandse-organisatie (1). minocw (1015). pki voor ocw (2). cp (2). domein OCW_DOC (1). server (6). onderwijsinstellingen (1)/ onderwijs gerelateerde instellingen en organisaties (2). versienummer}. OCW en haar certificaatdienstverlening volgen, als leidraad voor de opbouw en invulling van het CP, de eisen uit ETSI TS en het Programma van Eisen (PvE) PKIoverheid deel 3b. In dat PvE staan de vereisten benoemd die gesteld worden aan PKIoverheid Certificaten. De algemene indeling van dit CP volgt het model zoals gepresenteerd in Request for Comments 3647 ( Dit RfC 3647 biedt een raamwerk voor Certificaat Policies voor (X.509) Public Key Infrastructure (PKI) certificaten. 1.4 Verhouding tussen CP en Certificate Practice Statement (CPS) Voorliggend CP beschrijft de minimumeisen die zijn gesteld aan de dienstverlening op het gebied van Services Certificaten van OCW. Het OCW_DOC Certificate Practice Statement (CPS) geeft aan op welke wijze invulling is gegeven aan deze eisen. 1.5 Betrokken partijen De certificaatdienstverlening van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) is gericht op de onderwijsinstellingen en onderwijs gerelateerde organisaties Certification Authority (CA) Dienst Uitvoering Onderwijs (DUO) is verantwoordelijk voor de technische realisatie van de verleende diensten en voor de werkzaamheden behorende bij de Certification Authority (CA) diensten. Risicoklasse: - I Status: Definitief 7 / 40

8 1.5.2 Registration Authority (RA) Het verwerken van de certificaataanvragen, het controleren op volledigheid en correctheid en alle overige taken die toebehoren aan de Registration Authority (RA) van OCW zijn eveneens belegd bij DUO Abonnees, certificaathouders en certificaatbeheerders Een abonnee is een natuurlijke of rechtspersoon die met OCW een overeenkomst sluit namens één of meer certificaathouders voor het laten certificeren van de publieke sleutels. De Abonnee machtigt de Certificaatbeheerder om namens de Organisatie het Certificaat te beheren en in het certificaat de Organisatiegegevens op te nemen. Een certificaathouder is een entiteit, gekenmerkt in een certificaat als de houder van de private sleutel die is verbonden met de publieke sleutel die in het certificaat is gegeven. De certificaathouder is onderdeel van een organisatorische entiteit waarvoor een abonnee de contracterende partij is. In het kader van OCW is de certificaathouder de Server. Een certificaatbeheerder is een natuurlijke persoon die namens de abonnee handelingen uitvoert ten aanzien van het certificaat van de certificaathouder. De abonnee geeft de certificaatbeheerder opdracht de betreffende handelingen uit te voeren en legt dit vast in een bewijs van certificaatbeheer Vertrouwende Partijen Een Vertrouwende Partij is iedere natuurlijke of rechtspersoon die ontvanger is van een certificaat uitgegeven door OCW en die handelt in vertrouwen op dat certificaat. 1.6 Gebruikersgemeenschap De gebruikersgemeenschap van de certificaatdienstverlening van OCW waar deze CP betrekking op heeft, is het onderwijsveld. Het betreft onderwijsinstellingen die op geautomatiseerde wijze een interactie hebben met OCW, onderdelen van OCW of onderwijsinstellingen en onderwijs gerelateerde instellingen waaronder gemeenten, administratiekantoren, Surf, Kennisnet, uitgevers en leerbedrijven. 1.7 Certificaatgebruik Certificaatgebruik, dat onder deze CP valt, kan enkel betrekking hebben op beveiligde communicatie van of met services (apparaat, systeem of functie) die als certificaathouder handelen namens de abonnee. Onder dit CP vallen de volgende type certificaten: OCW_DOC Server Certificaten voor Onderwijsinstellingen ( ); OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen ( ). De OCW_DOC Server Certificaten, die onder deze CP worden uitgegeven, dienen voor het beveiligen van de verbinding tussen apparaten of systemen die behoren bij de organisatorische entiteit die als abonnee wordt genoemd in het betreffende certificaat. Risicoklasse: - I Status: Definitief 8 / 40

9 1.8 Waarborgen De PA van OCW_DOC waarborgt dat de OCW_DOC CA binnen het PKI voor OCW stelsel bekend is bij de PA van OCW en onder controle blijven van de OCW CSP die de OCW_DOC CA heeft gecreëerd. Tevens zal deze OCW_DOC CA niet worden gebruikt voor man-in-the middle (MITM) doeleinden. De OCW_DOC certificatiedienstverlener waarborgt dat zij, gedurende de tijd dat een certificaat geldig is, bij de uitgifte van een certificaat de eisen uit de CA/Browser Forum Baseline Requirements en het PvE deel 3b hebben gevolgd en dat zij de gegevens, zoals opgenomen in het certificaat, hebben gecontroleerd op juistheid en volledigheid. 1.9 Controle betrouwbaarheid In Figuur 2 wordt de structuur gepresenteerd vanuit het gezichtspunt van de vertrouwende partijen. Een vertrouwende partij heeft een certificaat (3) van een ander (de certificaathouder) en wil zekerheid omtrent de betrouwbaarheid van dit certificaat. Een certificaat wordt geverifieerd door de volgende controles uit te voeren: Is het bericht tijdens verzending niet gewijzigd, ofwel is de integriteit gewaarborgd? Is het gebruikte certificaat ingetrokken en op zogenaamde "zwarte lijst" geplaatst? Is het certificaat nog geldig? (3. (2. CSP CA certificaat eindgebruiker certificaat (1. Root CA certificaat Vertrouwende partij Figuur 2 Vertrouwensketen Vervolgens wordt door de software vastgesteld of het certificaat door een vertrouwde instantie is uitgegeven. Om deze laatste controle te kunnen uitvoeren, moet de software beschikken over het stamcertificaat van de PKI voor OCW. Wanneer het stamcertificaat niet aanwezig is, krijgt de gebruiker een foutmelding. De PA van OCW heeft ervoor gekozen om het stamcertificaat niet op te nemen in veelgebruikte besturingssystemen en (OpenSource) browsers. Wanneer software wordt gebruikt waarin het stamcertificaat niet is opgenomen, kan de vertrouwende partij het stamcertificaat op een betrouwbare wijze downloaden. Het CSP-certificaat (figuur 2: 2) is uitgegeven door de PA van OCW_DOC en kan worden gecontroleerd aan de hand van het stamcertificaat (figuur 2: 1). Het vertrouwen in een certificaat hangt daarom op elk niveau van de PKI voor OCW af van het vertrouwen dat men stelt in de partij die het certificaat heeft uitgegeven. Vanuit het gezichtspunt van een Risicoklasse: - I Status: Definitief 9 / 40

10 vertrouwende partij is dat bij de eerste controlestap de CSP, bij de tweede stap de PA op het niveau van de domeinen en tenslotte de PA op het hoogste niveau van de hiërarchie. Het stamcertificaat is dus het ankerpunt van vertrouwen in de hiërarchie van de PKI voor OCW en bepaalt het vertrouwen dat in alle andere certificaten die zijn uitgegeven binnen de PKI voor OCW wordt gesteld. Door het vertrouwen uit te spreken in het stamcertificaat, worden alle onderliggende domein-, CSP- en eindgebruiker certificaten vertrouwd. De gebruikers hoeven dus slechts één certificaat te vertrouwen. Een belangrijk aspect hierbij is het bepalen van de betrouwbaarheid van de uitgevende instantie van het certificaat. Betrouwbaarheid uitgevende instantie Om te kunnen vertrouwen op een certificaat moet de vertrouwende partij bepalen of hij wil vertrouwen op de uitgevende instantie (de CSP). Dit kan de vertrouwende partij doen door de Certification Practice Statement (CPS) van de CSP te beoordelen. Een verwijzing naar het CPS is opgenomen in het certificaat. Om te voorkomen dat een vertrouwende partij iedere CPS van de CSP's binnen de PKI voor OCW in detail moeten gaan beoordelen, is de hiërarchie van de PKI voor OCW gecreëerd. De voorwaarden voor uitgifte, beheer en ook het gebruik van eindgebruiker certificaten zijn door de PA beschreven in de CP. De CP is hiermee bepalend voor de CPS van de verschillende CSP's die actief zijn binnen de PKI voor OCW. Om van een betrouwbare hiërarchie te kunnen spreken is het dus van groot belang dat de PA op een betrouwbare wijze functioneert. De PA waarborgt de betrouwbaarheid van het stamcertificaat en de domeincertificaten door adequate beveiligingsmaatregelen toe te passen. Deze beveiligingsmaatregelen evenals de wijze waarop de PA toezicht houdt op de CSP zijn beschreven in het CPS van de PA met een daarbij behorend calamiteitenplan. Door het CPS van de PA te beoordelen kan de vertrouwende partij vaststellen of hij/zij vertrouwt op een certificaat dat is uitgegeven binnen de hiërarchie van de PKI voor OCW. Daarnaast wordt het betrouwbaar functioneren van de PA periodiek vastgesteld door het laten uitvoeren van een audit door externe auditors Beheer CP Het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) is verantwoordelijk voor dit CP. Het ministerie heeft deze taak gedelegeerd aan Dienst Uitvoering Onderwijs (DUO). Dit omvat ook het goedkeuren van wijzigingen op dit CP. Informatie over deze CP kan worden verkregen via onderstaande contactgegevens. Contactgegevens Adres Kempkensberg 12, 9722 TB Groningen Postbus Postbus 30155, 9700 LG Groningen Telefoon (algemeen) Website Definities en afkortingen Voor een overzicht van de gebruikte definities en afkortingen wordt verwezen naar Risicoklasse: - I Status: Definitief 10 / 40

11 2. Publicatie en verantwoordelijkheid voor elektronische opslagplaats 2.1 Elektronische opslagplaats De maximale tijdsduur, waarbinnen de beschikbaarheid van de dissemination service moet worden hersteld, is gesteld op 24 uur. Het is verplicht dat er een elektronische opslagplaats is waar de informatie zoals genoemd in [2.2] wordt gepubliceerd. Deze opslagplaats kan worden beheerd door de CSP of door een afzonderlijke organisatie. 2.2 Publicatie van CSP-informatie Het CPS dient in het Nederlands te zijn opgesteld. De CSP dient de OID's van de toegepaste CP's op te nemen in het CPS. De volgende clausule moet worden opgenomen in de CPS en in alle overeenkomsten met partijen die betrokken zijn bij de uitgifte van de server certificaten van de CSP (zoals b.v. de Registration Authority): CSP OCW_DOC conformeert zich aan de huidige versie van de Baseline Requirements for Issuance and Management of Publicly-Trusted Certificates zoals gepubliceerd op Mocht er een inconsistentie aanwezig zijn tussen het PKIoverheid Programma van Eisen deel 3b en de betreffende eisen, waardoor niet tenminste tegemoet wordt gekomen aan de hierin beschreven minimale eisen, dit ter beoordeling door de PA, dan prevaleert het gestelde in de eisen. De certificate policy statement van de CSP moet worden gestructureerd volgens RFC 2527, RFC 3647 of het Programma van Eisen van PKIoverheid dat is gebaseerd op RFC 3647 en moet alle relevante hoofdstukken bevatten zoals beschreven in RFC 2527, RFC 3647 of het PVE PKIoverheid. 2.3 Toegang tot gepubliceerde informatie Het CPS dient voor een ieder raadpleegbaar te zijn. Risicoklasse: - I Status: Definitief 11 / 40

12 3. Identificatie en authenticatie 3.1 Naamgeving Soorten naamformaten De naam in het subjectveld van certificaten van onderliggend CP moet de certificaathouder duidelijk identificeren en weergegeven zijn in een leesbare en begrijpelijke vorm, in overeenstemming met de X.500 standaard voor Distinguished Names (DN) Noodzaak gebruik betekenisvolle namen Geen nadere eisen Pseudoniemen Het gebruik van pseudoniemen of anonieme certificaten is niet toegestaan Regels voor het interpreteren van verschillende naamvormen Alle namen van abonneeorganisaties worden in principe exact overgenomen uit de registratiebronnen van de onderwijsinstellingen of uit de overlegde identificatiedocumenten van het Handelsregister dan wel andere betrouwbare bronnen van overheidsinstellingen Uniciteit van namen Alle certificaten van onderliggend CP bezitten een uniek subjectveld (Distinguished Name) en worden niet uitgegeven aan een andere certificaathouder Erkenning, authenticatie en de rol van handelsmerken OCW gaat uit van de correctheid van de naamgeving van organisaties zoals opgenomen in Register Instellingen en algemeen erkende (openbare) registers waaronder het Handelsregister Unieke serienummers in relatie tot OIN en Edukoppeling In het onderwijs zijn verschillende typen organisaties of onderdelen daarvan actief: Prefix Code Suffix FIN Belastingdienst (9 pos) FIN Belastingdienst (9 pos) Volgnr (3 pos) KVK (8 pos) Vestig.(4 pos) Logius (9 pos) Volgnr (3 pos) of BRIN (4 pos) Volgnr (2 pos) of Tabel 5. OIN-systematiek Edukoppeling De uitwisseling in het onderwijs wordt vaak uitgevoerd door de onderwijsinstelling of een zelfstandig opererend onderdeel ervan (de aanleverpunten). Hiervoor wordt het BRIN gebruikt als register van identiteit gegevens. Deze worden toegevoegd aan de systematiek met een eigen prefix (5). Risicoklasse: - I Status: Definitief 12 / 40

13 3.2 Initiële identiteitsvalidatie Methode om bezit private sleutel aan te tonen OCW hanteert verschillende methodes om bezit van een private sleutel aan te tonen. OCW_DOC Server Certificaten voor Onderwijsinstellingen ( ) en OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen ( ) De sleutelparen worden gegenereerd door de certificaatbeheerder van de abonnee in diens eigen veilige omgeving. De sleutelparen worden gegenereerd door de CSP namens de abonnee en op een veilige manier samen met het bijbehorende certificaat verzonden naar de abonnee. De aanlevering van het Certificate Signing request (CSR) geschiedt op een veilige wijze Authenticatie van organisatorische eenheid OCW_DOC Server Certificaten voor Onderwijsinstellingen ( ) Onderwijsinstellingen Voor de authenticatie van onderwijsinstellingen vertrouwt de OCW RA op de eerder genoemde procedure en de nauwgezette registratie van de organisatiegegevens in de Basis Register Instellingen (BRIN) die plaats vindt bij oprichting. Bij deze initiële registratie vindt Face2face authenticatie van de abonnee plaats. OCW RA verifieert: dat de abonnee als organisatorische entiteit is opgenomen in de BRIN; dat de door de abonnee aangemelde organisatienaam die in het certificaat wordt opgenomen juist en volledig is en dat de aanvrager bevoegd is de organisatie te vertegenwoordigen; de BRIN die is opgegeven door een onderwijsinstelling en die door OCW gebruikt wordt voor het samenstellen van een OIN voor de onderwijsinstelling. Op basis van de aanvraag- of machtigingsformulieren en de aangeleverde bewijsmiddelen verifieert de OCW RA: dat de abonnee als verantwoordelijke van een organisatorische entiteit behoort bij een bestaande organisatie; dat de organisatie valt binnen de het toepassing gebied van OCW_DOC; de relevante registratie-informatie van de organisatorische entiteit en het daarbij behorende bewijs (BRIN of andere authentieke bron); dat de door de abonnee aangemelde organisatienaam die in het certificaat wordt opgenomen juist en volledig is en dat de aanvrager (abonnee/certificaatbeheerder) bevoegd is de organisatie te vertegenwoordigen zoals opgenomen. Risicoklasse: - I Status: Definitief 13 / 40

14 OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen ( ) Onderwijs gerelateerde instellingen Voor de authenticatie van Onderwijs gerelateerde instellingen vertrouwt de OCW RA op de nauwgezette, initiële registratie bij aanvang van de samenwerkingsrelatie tussen onderwijsinstellingen en de Onderwijs gerelateerde instelling en op basis van de Kamer van Koophandel (KvK) register gebaseerde instellingengegevens. Bij deze initiële registratie vindt Face2face authenticatie van de abonnee plaats. OCW RA verifieert: dat de abonnee als verantwoordelijke van een organisatorische entiteit behoort bij een bestaande organisatie die is opgenomen in het KvK register; dat de door de abonnee aangemelde organisatienaam die in het certificaat wordt opgenomen juist en volledig is en dat de aanvrager bevoegd is de organisatie te vertegenwoordigen. Op basis van de aanvraag- of machtigingsformulieren en de aangeleverde bewijsmiddelen verifieert de OCW RA: dat de abonnee als verantwoordelijke van een organisatorische entiteit behoort bij een bestaande organisatie; dat de organisatie valt binnen het toepassing gebied van OCW_DOC; de relevante registratie-informatie van de organisatorische entiteit en het daarbij behorende bewijs (uittreksel KvK of andere authentieke bron); dat de door de abonnee aangemelde organisatienaam die in het certificaat wordt opgenomen juist en volledig is en dat de aanvrager bevoegd is de organisatie te vertegenwoordigen zoals opgenomen Authenticatie van persoonlijke identiteit OCW_DOC Server Certificaten voor Onderwijsinstellingen ( ) en OCW_DOC Server Certificaten voor Onderwijs gerelateerde Instellingen ( ) OCW RA verifieert de opgegeven persoonsgegevens van de aanvrager of een namens deze gemachtigde certificaatbeheerder aan de hand van een in art. 1 van de Wet op de Identificatieplicht genoemd identiteitsdocument: een geldig reisdocument als bedoeld in de Paspoortwet; de documenten waarover een vreemdeling ingevolge de Vreemdelingenwet 2000 moet beschikken ter vaststelling van zijn identiteit, nationaliteit en verblijfsrechtelijke positie; een geldig nationaal, diplomatiek of dienstpaspoort dat is afgegeven door het daartoe bevoegde gezag in een andere staat. De certificaatbeheerder moet aantoonbaar gemachtigd zijn door de abonnee door middel van een ondertekend machtigingsformulier. Risicoklasse: - I Status: Definitief 14 / 40

15 OCW kiest ervoor om het aanvragen van OCW_DOC Server Certificaten door de Certificaat Beheerder via het Zakelijk Portaal te laten verlopen. De Certificaat Beheerder krijgt bij het verkrijgen van een account op het Zakelijk Portaal een token om zich sterk te kunnen authenticeren op het Zakelijk Portaal. Dit is voor OCW voldoende om bij het aanvragen van een certificaat niet opnieuw te vragen naar een geldig identiteitsbewijs van de aanvrager c.q. de Certificaat Beheerder Niet geverifieerde gegevens Voor de OCW_DOC Server Certificaten worden de naam van een service, correspondentiegegevens en optionele velden (bijvoorbeeld afdeling) niet geverifieerd Autorisatie certificaatbeheerder Voor de OCW_DOC Server Certificaten geldt dat OCW er zorg voor draagt dat aangetoond wordt dat: de certificaatbeheerder de machtiging heeft verkregen van de abonnee om aan hem opgedragen handelingen uit te voeren (ingeval de certificaatbeheerder het registratieproces uitvoert). de certificaatbeheerder een persoon is van wie de identiteit is vastgesteld in samenhang met een organisatorische entiteit van de abonnee; de certificaatbeheerder gerechtigd is voor een certificaathouder een certificaat te ontvangen namens de rechtspersoon of andere organisatorische entiteit. Als er relevante wijzigingen plaats hebben in de relatie tussen abonnee en certificaatbeheerder en/of service, heeft de abonnee de verantwoordelijkheid, deze onmiddellijk aan OCW door te geven. Wanneer de service ophoudt te bestaan, dient dit door middel van een intrekking verzoek te geschieden. De CSP moet verifiëren dat de domeinnaam niet voorkomt op een spam- en/of phishing blacklist. Gebruik hiervoor ten minste Als de domeinnaam voorkomt op phishtank of eventueel een andere blacklist die is geraadpleegd, dient de CSP tijdens het verificatieproces extra zorgvuldig om te gaan met de aanvraag van het betreffende server certificaat. 3.3 Identificatie en authenticatie bij vernieuwing van een certificaat Routinematige vernieuwing van een certificaat Voor routinematig vernieuwen van een OCW_DOC Server Certificaat van voorliggend CP, worden dezelfde procedures gehanteerd als een initiële aanvraag zoals beschreven in paragraaf 3.1. en 3.2. Voor het vernieuwen van een certificaat wordt altijd een nieuw sleutelpaar gegenereerd Vernieuwing van sleutels na intrekking van een certificaat Voor het vernieuwen van sleutels na intrekking van een certificaat worden dezelfde procedures gehanteerd als een initiële aanvraag zoals beschreven in paragraaf 3.1. en 3.2. Voor het vernieuwen van een certificaat na intrekking wordt altijd een nieuw sleutelpaar gegenereerd. Risicoklasse: - I Status: Definitief 15 / 40

16 3.4 Identificatie en authenticatie bij intrekking van een certificaat Identificatie en authenticatie van de indieners van het verzoek tot intrekking kan op één van onderstaande wijzen geschieden of een methode die minimaal dezelfde waarborgen biedt: in te loggen op het Zakelijk Portaal met bij de aanvraag verstrekte authenticatiemiddelen en het intrekking verzoek in te vullen; bij telefoon contact dient de persoon aan de lijn bij aanvang van het gesprek eerst geauthenticeerd te worden. In elk van de bovenvermelde gevallen verifieert OCW RA of de indiener gerechtigd is het verzoek tot intrekking te verrichten. Risicoklasse: - I Status: Definitief 16 / 40

17 4. Operationele eisen 4.1 Aanvraag van certificaten Voor de OCW_DOC Server Certificaten geldt dat deze aangevraagd kunnen worden door de wettelijke vertegenwoordiger of een gemachtigd certificaatbeheerder middels het daartoe bestemde certificaataanvraagformulier. 4.2 Werkwijze bij aanvraag certificaten Certificaatbeheerders kunnen aanvragen doen, nadat zij door de abonnee hiertoe gemachtigd zijn middels een Certificaat Machtigingsformulier (deelnameformulier) en de certificaatbeheerder en diens organisatie geïdentificeerd zijn. Voor het aanvragen van OCW_DOC Server Certificaten is er in het Zakelijk Portaal een elektronisch aanvraagformulier beschikbaar. De wettelijke vertegenwoordigers dienen dit elektronische aanvraagformulier in te vullen en middels een vinkje op het aanvraagformulier in te stemmen met de voorwaarden die bij deze aanvraag gelden. Hierbij wordt ten minste verklaard dat: de gegevens die worden verstrekt in het kader van het aanvraagproces van een OCW_DOC Server Certificaat volledig en juist zijn; passende maatregelen zullen worden genomen om de private sleutel en de daarbij behorende toegangsinformatie (bijv. een PIN code), behorend bij de publieke sleutel in het betreffende certificaat, onder zijn controle en geheim te houden en te beschermen; niet het OCW_DOC Server Certificaat zal installeren en gebruiken alvorens het op juistheid en volledigheid gecontroleerd te hebben; het OCW_DOC Server Certificaat alleen op die server wordt gezet, die bereikbaar is met de domeinnaam zoals vermeld in het certificaat; het OCW_DOC Server Certificaat alleen wordt gebruikt in overeenstemming met de regelgeving die op haar bedrijfsvoering van toepassing is en alleen in relatie met de werkzaamheden van de abonnee en in overeenstemming met de bepalingen van de voorliggende overeenkomst; hij per direct geen gebruik meer zal maken van het OCW_DOC Server Certificaat als duidelijk is dat de gegevens in het certificaat onjuist of onvolledig zijn of als er aanwijzingen zijn dat de private sleutel, behorend bij de publieke sleutel van het betreffende certificaat, gecompromitteerd is geraakt; hij per direct geen gebruik meer zal maken van de private sleutel, behorend bij de publieke sleutel van het betreffende OCW_DOC Server Certificaat, als de geldigheid van het certificaat is verlopen of als het certificaat is ingetrokken; gereageerd wordt op instructies binnen de door de OCW gestelde termijn in geval van aantasting van de private sleutel of certificaatmisbruik; OCW als CSP gerechtigd is om het OCW_DOC Server Certificaat in te trekken indien de abonnee de gebruikersovereenkomst heeft geschonden of OCW heeft ontdekt Risicoklasse: - I Status: Definitief 17 / 40

18 dat het OCW_DOC Server Certificaat wordt gebruikt voor criminele activiteiten zoals phishing, fraude of het verspreiden van malware. De OCW RA dient na het ontvangen van het deelnameformulier de persoons- en organisatiegegevens van onderwijsinstellingen te controleren op basis van de Basis Register Instellingen. Tevens worden de persoonsgegevens getoetst aan het meegezonden identiteitsbewijzen. Voor de overige organisatie (Onderwijs gerelateerde instellingen) dienen de aangeleverde gegevens gevalideerd te worden aan de hand van: gewaarmerkt recente uittreksel (niet ouder dan 3 maanden) uit het Handelsregister van de Kamer van Koophandel (KvK), dan wel vergelijkbaar bewijs van registratie indien het gaat om organisaties die niet geregistreerd zijn bij de KvK (zoals bijvoorbeeld bepaalde gemeenten). Indien een gemachtigde certificaatbeheerder werkzaam is bij een andere organisatie dan de abonnee, dient deze organisatie gevalideerd te worden aan de hand van de registratiegegevens in eerder genoemde authentieke bronnen of Basis Register Instellingen (als het een onderwijsinstelling betreft). Aan alle benoemde voorwaarden dient voldaan te worden, voordat tot uitgifte (zie paragraaf 4.3) van certificaten overgegaan kan worden. Bij aanvraag van een OCW_DOC Server Certificaat mogen bij erkende registers (Stichting Internet Domeinregistratie Nederland (SIDN) of Internet Assigned Numbers Authority (IANA)) gecontroleerd worden of de abonnee de eigenaar is van de domeinnaam ("fullyqualified domain name (FQDN))" of dat de abonnee exclusief geautoriseerd is door de geregistreerde domeinnaam eigenaar om, namens de geregistreerde domeinnaam eigenaar, de domeinnaam te gebruiken. 4.3 Uitgifte van certificaten OCW_DOC Server Certificaten worden uitgegeven aan de certificaatbeheerder, nadat alle onderdelen van de aanvraag (zie paragraaf 4.2) correct doorlopen zijn. Voor uitgifte dient een Certificate Signing Request (CSR) aangeleverd te worden. Hiertoe dienen de sleutelparen gegenereerd te worden in de eigen veilige omgeving van de abonnee door de certificaatbeheerder, die bij voorkeur voldoet aan de Common Criteria standaard. De CSR wordt door OCW geverifieerd aan de hand van de gegevens van het bijhorende aanvraagformulier. OCW_DOC Server Certificaten dienen via het Zakelijk Portaal (ZP) te worden gedownload door de certificaatbeheerder. 4.4 Acceptatie van certificaten Acceptatie van het OCW_DOC Server Certificaat wordt geacht te hebben plaatsgevonden na uitgifte van het certificaat aan de wettelijke vertegenwoordiger of de gemachtigde certificaatbeheerder. In het OCW_DOC Certificate Practice Statement (CPS) zijn de voorwaarden voor gebruik van het OCW_DOC Server Certificaat gepubliceerd. Met het accepteren van het certificaat gaat de wettelijke vertegenwoordiger en certificaatbeheerder akkoord met de rechten en plichten zoals die zijn bepaald in het genoemde CPS. Risicoklasse: - I Status: Definitief 18 / 40

19 4.5 Sleutelpaar en certificaatgebruik Verplichtingen van abonnee en certificaatbeheerder Abonnee en certificaatbeheerder verplichten zich: certificaten van dit CP enkel te gebruiken voor het benoemde doel en toepassingsgebied; alle benodigde maatregelen te treffen en te onderhouden om misbruik te voorkomen van welke aard dan ook van de verkregen certificaten; bij (vermoedens van) misbruik daar melding van te doen aan de OCW RA en de benodigde maatregelen te treffen voor het laten intrekken van het certificaat (zoals nader omschreven in paragraaf 4.9). Indien daar noodzaak toe is kan de OCW RA de abonnee en certificaatbeheerder verplichten het gebruik van het OCW_DOC Server Certificaat te stoppen Verplichtingen van vertrouwende partij In de gebruikersvoorwaarden die aan de vertrouwende partijen ter beschikking worden gesteld dient te worden opgenomen dat: de vertrouwende partij wordt geacht de geldigheid te controleren van de volledige keten van certificaten tot aan de bron (stamcertificaat) waarop wordt vertrouwd. de abonnee zelf zorg draagt voor een tijdige vervanging in het geval van een naderende afloop geldigheid, en noodvervanging in geval van compromittatie en/of andere soorten van calamiteiten met betrekking tot het certificaat of van bovenliggende certificaten. van de abonnee wordt verwacht dat hij zelf adequate maatregelen neemt om de continuïteit van het gebruik van certificaten te borgen. 4.6 Vernieuwen van certificaten Vernieuwen van OCW_DOC Server Certificaten gaat altijd gepaard met het vernieuwen van de sleutelparen. 4.7 Re-Key van certificaten Aanvraag van OCW_DOC Server Certificaten na het (dreigend) verstrijken van de geldigheidsduur of na intrekking van het certificaat hebben altijd nieuwe certificaten en nieuwe sleutelparen tot gevolg. Re-Key van certificaten is niet toegestaan. 4.8 Aanpassing van certificaten Bij aanpassing van een OCW_DOC Server Certificaat dient deze op initiatie van de abonnee ingetrokken te worden en is een nieuwe certificaataanvraag noodzakelijk die conform de procedures van een initiële uitgifte wordt doorlopen. 4.9 Intrekking en opschorting van certificaten Na intrekken dient de statusinformatie van het OCW_DOC Server Certificaat aangepast te worden in ongeldig. Certificaten die zijn ingetrokken kunnen niet meer de status geldig krijgen Omstandigheden die leiden tot intrekking OCW_DOC Server Certificaten zullen worden ingetrokken wanneer: de abonnee aangeeft dat het oorspronkelijke verzoek voor een certificaat niet was toegestaan en de abonnee verleent met terugwerkende kracht ook geen toestemming; Risicoklasse: - I Status: Definitief 19 / 40

20 de OCW RA beschikt over voldoende bewijs dat de private sleutel van de abonnee (die overeenkomt met de publieke sleutel in het certificaat) is aangetast of er is het vermoeden van compromittatie, of er is sprake van inherente beveiligingszwakheid, of dat het certificaat op een andere wijze is misbruikt. Een sleutel wordt als aangetast beschouwd in geval van ongeautoriseerde toegang of vermoede ongeautoriseerde toegang tot de private sleutel, verloren of vermoedelijk verloren private sleutel, gestolen of vermoedelijk gestolen sleutel of vernietigde sleutel; een abonnee niet aan zijn verplichtingen voldoet zoals verwoord in deze CP of het bijbehorende CPS; de OCW RA op de hoogte wordt gesteld of anderszins zich bewust wordt van een wezenlijke verandering in de informatie, die in het certificaat staat. de OCW RA bepaalt dat het certificaat niet is uitgegeven in overeenstemming met deze CP of het bijbehorende CPS; de OCW RA bepaalt dat informatie in het certificaat niet juist of misleidend is; OCW als CSP haar werkzaamheden staakt en de Certificate Revocation List (CRL) en de Online Certificate Status Protocol (OCSP) dienstverlening niet wordt overgenomen door een andere CSP; Afhankelijk van exacte mechanisme voor ophalen getekende CSR kan de OCW RA ook het certificaat intrekken als deze binnen de gestelde termijn van 14 dagen niet wordt opgehaald door de abonnee of certificaatbeheerder. Daarnaast kunnen OCW_DOC Server Certificaten worden ingetrokken als maatregel om een calamiteit te voorkomen, c.q. te bestrijden. Als calamiteit wordt zeker de aantasting of vermeende aantasting van de private sleutel van de CSP waarmee certificaten worden ondertekend, beschouwd. Alle verzoeken tot intrekking, ook op initiatie van de OCW RA, worden gedocumenteerd en vormen onderdeel van het dossier van de onderwijsinstelling of de Onderwijs gerelateerde organisatie Wie mag verzoek tot intrekking indienen De volgende partijen mogen een verzoek tot intrekking van een OCW_DOC Server Certificaat doen: de wettelijke vertegenwoordiger van de abonnee; de certificaatbeheerder; OCW als CSP; ieder andere, naar het oordeel van de CSP, belanghebbende partij/persoon Procedure voor verzoek tot intrekking Direct na constatering van de in paragraaf benoemde omstandigheden, moet een verzoek tot intrekking doorgegeven worden aan de CSP RA. Een verzoek tot intrekking van een certificaat kan worden ingediend door de vertegenwoordiger van de abonneeorganisatie of een namens deze Abonnee gemachtigde Certificaatbeheerder. Een intrekking verzoek kan op de volgende wijze ingediend worden: Risicoklasse: - I Status: Definitief 20 / 40

21 via het Zakelijk Portaal Online: Door middel van userid en wachtwoord en token wordt gewaarborgd dat er een beveiligde verbinding is en de Abonnee geauthenticeerd wordt. Tevens krijgt de Abonnee alleen die certificaten te zien waarvoor hij/zij gemachtigd is. Nadrukkelijk wordt erop gewezen dat, in geval met de intrekking een spoedeisend belang gediend is, dit via de online / real time intrekkingspagina dient te geschieden. Deze vorm van intrekking is zeven dagen per week vierentwintig uur per dag beschikbaar. 2) per telefoon: o de wettelijk vertegenwoordiger/ Certificaatbeheerder kan het verzoek tijdens kantoortijden via de telefoon doorgeven. Ter controle worden door CSP RA identificerende gegevens van de organisatie en de persoon opgevraagd en gecontroleerd aan de hand van de bekende gegevens in het CMS. Indien het intrekking verzoek online is uitgevoerd controleert CSP RA achteraf op bovenstaande gegevens. Indien de Certificaatbeheerder een telefonisch de aanvraag tot intrekking doet, wordt een identiteitsvraag gesteld en kan om Zakelijk Portaal inlognaam en/of het Zakelijk Portaal token-id worden gevraagd. CSP RA authentiseert de persoon en verifieert of de indiener gerechtigd is het verzoek tot intrekking te verrichten (voor de voorwaarden zie paragraaf 3.4). Indien het telefonisch intrekking verzoek en de indiener gevalideerd zijn en correct bevonden, trekt de CSP RA de certificaten in. De indiener wordt genotificeerd over de bevestiging of afwijzing van de intrekking. De CSP RA registreert altijd de reden(en) indien de intrekking op initiatie van CSP RA geschied. De CSP legt beweegreden voor de intrekking van een certificaat vast in de CRL door middel van de zgn. reason code. De maximale tijdsduur, waarbinnen de beschikbaarheid van de intrekking faciliteit per telefoon en kantoor uren moet worden hersteld, is gesteld op vier uur Periode waarbinnen verzoek tot intrekking ingediend moet worden Onmiddellijk na constatering van de in paragraaf benoemde omstandigheden, moet een verzoek tot intrekking doorgegeven worden aan OCW RA Tijdsduur voor verwerking van verzoek tot intrekking De maximale verwerkingstijd tussen de ontvangst van een intrekking verzoek en de wijziging van de status van een ingetrokken certificaat, die voor alle vertrouwende partijen beschikbaar is, is gesteld op vier uur Controlevoorwaarden bij raadplegen certificaat statusinformatie Een eindgebruiker die de certificaatstatusinformatie raadpleegt, dient de authenticiteit van deze informatie te verifiëren door de elektronische handtekening waarmee de informatie is getekend en het bijbehorende certificatie pad te controleren. Een vertrouwende partij is verantwoordelijk voor het nemen van maatregelen om de geldigheid en de status van het OCW_DOC Server Certificaat en de bovenliggende Stamcertificaten te valideren. De geldigheid en status van het certificaat zijn raadpleegbaar middels de gepubliceerde Certificate Revocation List (CRL) of via het Online Certificate Status Protocol (OCSP). Risicoklasse: - I Status: Definitief 21 / 40

22 4.9.7 Frequentie uitgifte Certificate Revocation List (CRL) De CSP moet de CRL ten behoeve van OCW_DOC Server Certificaten ten minste een keer in de 7 kalenderdagen bijwerken en opnieuw uitgeven en de datum van het veld Volgende update mag niet meer dan 10 kalenderdagen zijn na de datum van het veld Ingangsdatum Tijd tussen generatie en publicatie van de CRL Direct na generatie wordt de CRL gepubliceerd Beschikbaarheid online intrekking- / statuscontrole Om online de status van een specifiek certificaat op te vragen wordt het Online Certificate Status Protocol (OCSP) als methode ter beschikking gesteld Vereisten online intrekking- / statuscontrole Het OCSP response dat OCW terugstuurt (met de status van het certificaat) wordt digitaal ondertekend door ofwel: 1. de private (CA) sleutel waarmee ook het certificaat is ondertekend waarvan de status wordt gevraagd; 2. de private sleutel van een door OCW als CSP aangewezen responder die beschikt over een OCSP-Signing certificaat dat voor dit doel is ondertekend door de private (CA) sleutel waarmee ook het certificaat is ondertekend waarvan de status wordt gevraagd. Het gebruikt van vooraf berekende OCSP responses (precomputed responses) is niet toegestaan. De informatie die middels OCSP wordt verstrekt, is ten minste even actueel en betrouwbaar als de informatie die wordt gepubliceerd door middel van een CRL gedurende de geldigheid van het afgegeven certificaat. Bovendien is de statusinformatie raadpleegbaar tot ten minste zes maanden na het tijdstip waarop de geldigheid van het certificaat is verlopen. De CSP moet de OCSP service ten minste een keer in de 4 kalenderdagen bijwerken. De maximale vervaltermijn van de OCSP responses is 10 kalenderdagen. De CSP MOET de GET methode ondersteunen bij het aanbieden van OCSP responses volgens RFC5019. Als de OCSP responder van de CSP een statusverzoek ontvangt van een certificaat dat niet is uitgegeven, dan mag de responder niet antwoorden met status good. De CSP moet dergelijke verzoeken aan de responder registreren als onderdeel van de beveiligingsprocedures en indien noodzakelijk hierop acteren Beschikbaarheid van andere vormen van intrekking/statusinformatie Geen nadere bepalingen voor de certificaatdienstverlening van OCW Bijzondere eisen ten aanzien van sleutel compromittatie De eisen en maatregelen bij sleutel compromittatie van de certificaathouders stemmen overeen met de overige categorieën zoals beschreven in paragraaf Er zijn geen nadere bijzondere eisen Certificaatopschorting OCW past geen opschorting van de geldigheid van de OCW_DOC Server Certificaten toe. Risicoklasse: - I Status: Definitief 22 / 40

23 4.10 Certificaat statusdienst Operationele eigenschappen De CSP moet met betrekking tot zijn OCSP en CRL dienstverlening passende server capaciteit aanhouden waarmee een response tijd wordt gegarandeerd van 10 seconden of minder onder normale omstandigheden Beschikbaarheid certificaat statusservice De maximale tijdsduur, waarbinnen de beschikbaarheid van de revocation status information (de status van een ingetrokken certificaat) moet worden hersteld, is gesteld op vier uur Optionele kenmerken van de certificaatstatusservice Geen nadere bepalingen voor de certificaatdienstverlening van OCW Beëindiging abonneerelatie De relatie tussen OCW als CSP en de abonnee kan door beide partijen beëindigd worden. Beëindiging abonneerelatie op initiatief OCW RA indien: een onderwijsinstellingen niet meer geregistreerd staat in het Basis Register Instellingen (BRIN); een organisatie niet meer behoort tot de groep Onderwijs gerelateerde organisaties; een onderwijsinstelling of Onderwijs gerelateerde organisatie op enigerlei wijze schade berokkent aan OCW. Beëindiging abonneerelatie op initiatief abonnee; hierbij dient de abonnee het verzoek tot beëindiging schriftelijk door te geven, waarbij het verzoek getekend is door de wettelijke vertegenwoordiger. OCW RA authenticeert de aanvrager van het verzoek conform de authenticatie bij de initiële certificaataanvraag Key escrow en key recovery OCW CSP slaat geen private sleutels van certificaten op en maakt geen back-up van de private sleutels van certificaten. Risicoklasse: - I Status: Definitief 23 / 40