Intrekking van de DigiNotar PKIoverheid sub CA certificaten

Vergelijkbare documenten
Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

Algemene Voorwaarden PKIoverheid Certificaten

CERTIFICATE POLICY TESTcertificaten binnen de PKI voor de overheid

CERTIFICATION PRACTICE STATEMENT. TESTcertificaten binnen de PKI voor de overheid. Datum 10 februari 2012

Geregistreerde OID s. Datum 25 mei 2018

OVERZICHT ACTUELE DOCUMENTATIE EN COMPLIANCE

Aandachtspunten PKIoverheid

Aanbevelingen en criteria penetratietest

Norm ICT-beveiligingsassessments DigiD

Certificate Policy Bedrijfstestomgeving ZOVAR

Vertrouwende Partij Voorwaarden UZI-register

Checklist testen Lopende zaken MijnOverheid. Versie 1.1

Gebruikershandleiding Digikoppeling Serviceregister

Gebruikershandleiding

Communicatie betreffende het CPS zal plaatsvinden per , fax of aangetekende brief, tenzij anders is voorzien.

Datum 1 juli 2014 Versie 1.0

Norm ICT-beveiligingsassessments DigiD

Wijziging Contactpersoon v1.17. Domein Organisatie

Datum 19 december 2013 Versie 3.7

Sec-ID. Certification Practice Statement. en Certificate Policy. Medizorg Services BV

Hulpmiddelen bij implementatie van Digikoppeling

Koppelvlakspecificatie

Aanvragen en gebruik Overheids IdentificatieNummer (OIN)

Checklist Testen Berichtenbox - MijnOverheid

Beheervoorziening BSN - Use Case 17: Authenticeren

Datum 1 juli 2014 Versie 3.8

Elektronische handtekening

ESG de electronische signatuur BV

Handleiding Digipoort Portaal

Elektronische handtekening

Handleiding uitvoering ICT-beveiligingsassessment

Toetsing BSN gerechtigdheid t.b.v. verstrekking BSN sleutelmateriaal. Versie 1.1. Datum 3 juni 2019 Status Definitief

Onbekend type scheepsnummer opgegeven (waarde=ern, enkel toegestaan=[eni, IMO, OFS]

Intrekkingsverzoek Certificaten v1.11

Digikoppeling adapter

Bijzondere Voorwaarden BAPI CERTIFICATEN (ASQQ11017) Versie december 2011

Handleiding voor aansluiten op Digilevering

Aan Hoofd ICT Securityofficer. Datum 20 oktober 2011 Betreft Vrijgeven DVS na DigiNotar incident. Geacht heer, mevrouw

Intrekkingsverzoek Certificaten v1.12

Installatiehandleiding SafeSign en PKI Klasse X certificaten

Datum 4 februari 2013 Versie 1.2

Datum februari 2015 Versie 1.4

Melding omstandigheden die kunnen leiden tot intrekking van Certificaten - v1.10

Certificaten: Aanmaak en beheer

Standard Operating Procedure

Documentatie Installatie Instructie. Microsoft Outlook: RPC over HTTPS. De Dierenbescherming

Voorbeelden generieke inrichting Digikoppeling

6. De deelnemer is zelf verantwoordelijk voor het controleren of een annuleringsverzoek door You Catalyst op tijd en in goede orde is ontvangen.

Checklist testen Lopende zaken MijnOverheid

Versturen XBRL BTW & ICP-aangiften via Digipoort naar de belastingdienst. behorend bij changelist v6.0.0

Aanvraag Beroepsgebonden Certificaten RA en AA v1.12

Wijziging Contactpersoon v1.17

Service Pack notes CRM SPE SP3

Importeren van grids uit de WADI database

Statussen per processtap

Procesbeschrijving Punch out aansluiting DigiInkoop

Beveiliging documentuitwisseling zorginstellingen

eid middleware v2.6 voor Mac OS X

Handleiding Punch out (SAP OCI)

Handleiding Portaal. Digipoort. Versie Datum 25 januari 2012

Voorwaarden bedrijfstestomgeving CIBG ZOVAR

Regiobijeenkomst Implementatie DROP

Technische handleiding encryptie DKD

HP CloudSystem Matrix Upgrade Implementation Services

Vertrouwende Partij Voorwaarden ZOVAR

Wijzigingen Primaccount FiscaalManager

Privacy Statement. Verwerking persoonsgegevens bij QWi Engineering B.V. Versie: 1.1 QWi Engineering BV Datum: 18 mei 2018

Public Key Infrastructure PKI door de ogen van een auditor

Technische handleiding BvdU

Checklist testen WOZ-inzage MijnOverheid

intrekking van Certificaten - v1.11

Toelichting op proces aansluiten als toegangsdienst op BSNk

Registratieformulier PKIoverheid Certificaatbeheerders v1.12

Systeemconfiguratie Policy VICnet/SPITS

Gebruikershandleiding

Privacy Statement. Gegevens die wij verwerken van website bezoekers. Gebruik van verzamelde gegevens

Het onderstaande privacy beleid is van toepassing op alle sitebezoeken, transacties en overeenkomsten met XLNT Connect BV.

Handleiding - Mogelijke oplossingen voor problemen met het starten van Uw Online Werkplek

Doel Bewaartermijn Rechtsgrond (reden) Vanwege uw toestemming. het verlenen van toegang tot onze website;

Gebruikershandleiding Digitaal tekenplatform

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd )

Bijlage 2 bij de Beschrijving Groslijst-systematiek voor de onderhandse aanbestedingen van ingenieursdiensten HHNK

Toelichting op het SBR ondertekeningsbeleid versie 2.0

Aan alle uitgenodigden

Updateprocedure in vogelvlucht Stap 1: Updatebestanden downloaden Stap 2: Controle vooraf... 4

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 1/99

Forum Standaardisatie. Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden. Datum 5 augustus 2010

Programma van Eisen deel 3h: Certificate Policy Server Certificaten Domein Private Services

StUF XML schemavalidatie minimale eis aan software Proces & Voorwaarden

Configuratie Controles bij vervanging van G2 door G3 SVB-BGT

PRIVACYVERKLARING THE BOEI

Programma van Eisen deel 2: Toetreding tot en toezicht binnen de PKI voor de overheid. Datum 1 februari 2018

Reglement Beroepscommissie IPMA-NL

Handleiding Mijn Websign

Verantwoordelijke voor de verwerking van de Gegevens en Eigenaar

FAQ - LIJST. 2. Vraag: Worden de auditors op de hoogte gehouden van ontzettingen uit het ambt en van waarnemingen? Antwoord: Nee.

Programma van Eisen deel 3h: Certificate Policy Server Certificaten Domein Private Services

Gebruikershandleiding

Transcriptie:

Intrekking van de DigiNotar PKIoverheid sub CA certificaten Versie 1.0 Datum 23 september 2011 Status Definitief

Colofon Projectnaam Intrekken DigiNotar PKIoverheid sub CA certificaten Versienummer 1.0 Contactpersoon Policy Authority (PA) PKIoverheid Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Bijlage(n) n.v.t. Documentbeheer Datum Versie Auteur Opmerkingen 23-9-2011 1.0 PA PKIoverheid n.v.t. Pagina 2 van 8

Inhoud Colofon... 2 Inhoud... 3 Inleiding... 4 1 Intrekken DigiNotar sub CA certificaten en het effect... 5 1.1 Inleiding... 5 1.2 Elk certificaat vermeldt zijn eigen geldigheidsperiode... 6 1.3 Elk PKIoverheid certificaat bevat een verwijzing naar de CRL... 6 1.4 Een PKI-toepassing moet zijn ingesteld voor CRL-opvraging... 6 1.5 Een reëel risico op het gebruik van een verouderde CRL... 7 1.6 Tot slot nog een taak voor de netwerkbeheerder... 8 Pagina 3 van 8

Inleiding Dit document gaat in op de intrekking op 28 september 2011 van de certificaten van DigiNotar PKIoverheid sub CA's door de Domein CA's van de Staat der Nederlanden. Het onderwerp wat in dit document wordt behandeld is: wat betekent het intrekken van de DigiNotar PKIoverheid sub CA certificaten en wat is het effect. Pagina 4 van 8

1 Intrekken DigiNotar sub CA certificaten en het effect 1.1 Inleiding De Staat der Nederlanden publiceert verscheidene lijsten met daarin de serienummers van de certificaten van ingetrokken PKIoverheid CA's. Een dergelijke lijst worden ook wel intrekkingslijst of Certificate Revocation List (CRL) genoemd, beide termen worden in dit document gebruikt. In het verleden heeft DigiNotar van de PKIoverheid Domein CA genaamd Staat der Nederlanden Overheid CA drie sub CA certificaten mogen ontvangen. Dat zijn: het certificaat van de DigiNotar PKIoverheid CA Overheid met serienummer 01314476 (= verlopen op 23 juni 2010); het certificaat van de DigiNotar PKIoverheid CA Overheid en Bedrijven met serienummer 013169b0; het certificaat van de DigiNotar PKIoverheid CA Organisatie - G2 met serienummer 013134bf. De PKIoverheid Domein sub CA s zullen op 28 september 2011 de intrekkingslijst bijwerken en, in plaats van de huidige, die bijgewerkte versie publiceren. De voor de DigiNotar intrekking relevante intrekkingslijsten zijn de volgende: Actuele lijst met ingetrokken CSP-certificaten onder Domein Overheid opvraagbaar op adres http://crl.pkioverheid.nl/domovlatestcrl.crl Actuele lijst met ingetrokken CSP-certificaten onder G2 Domein Organisatie opvraagbaar op adres http://crl.pkioverheid.nl/domorganisatielatestcrl-g2.crl Correct ingestelde PKI-toepassingen zullen de (bijgewerkte) intrekkingslijsten weten te vinden en, op basis van die lijsten, kennisnemen van de ingetrokken status van de genoemde DigiNotar PKIoverheid sub CA's. N.B. Bij PKI-toepassingen moet men denken aan alle hardware- en softwareproducten die met certificaten kunnen omgaan en de geldigheid van certificaten kunnen achterhalen. Dit omvat bekende programmatuur zoals webbrowsers, maar bijvoorbeeld ook de meeste besturingssystemen en standaard- en maatwerk communicatieprogrammatuur en -apparatuur. Nu is het echter wel zo, dat de meeste PKI-toepassingen zelf het initiatief moeten nemen om intrekkingslijsten al dan niet op te vragen en te controleren. Bepalend om van een certificaat de meest recente intrekkingslijst al dan niet op te (kunnen) vragen zijn: 1. Of het tijdstip van einde geldigheid zoals vermeld in het te valideren certificaat zelf al aangeeft dat de geldigheidstermijn is verstreken; 2. Of een te valideren certificaat al dan niet verwijst naar het publicatiepunt van de voor hem geldende intrekkingslijst; 3. Of de betreffende PKI-toepassing zodanig is ingesteld, dat hij notie neemt van die vermelding; 4. Of de betreffende PKI-toepassing al dan niet beschikt over een kopie van een oudere, maar volgens de toepassing nog steeds geldende, Pagina 5 van 8

intrekkingslijst; 5. Of de betreffende PKI-toepassing al dan niet in staat is om een netwerkverbinding met het betreffende publicatiepunt te realiseren. Deze vijf situaties zijn in de vijf secties hieronder verder beschreven en uitgewerkt. 1.2 Elk certificaat vermeldt zijn eigen geldigheidsperiode Elk certificaat vermeldt (tot op de seconde nauwkeurig) zijn eigen starten einde geldigheid. Er van uitgaande dat de PKI-toepassing gebruik maakt van een zuivere systeemklok, zal de toepassing ieder certificaat waarvan de vermelde einde geldigheid is verstreken, als ongeldig beschouwen. In zo'n geval is een (verdere) controle van een intrekkingslijst uiteraard overbodig. Van een, op basis van de vermelde einde geldigheid, inmiddels verlopen certificaat zal diens uitgevende CA dan ook nooit het serienummer opnemen in een intrekkingslijst. Het certificaat van één van de eerder genoemde DigiNotar PKIoverheid CA's is inmiddels verlopen. Dit betreft het certificaat van de DigiNotar PKIoverheid CA Overheid die een eindegeldigheid van 23 juni 2010 10:17:36 vermeldt. Dat certificaat zal dus niet (meer) worden ingetrokken. 1.3 Elk PKIoverheid certificaat bevat een verwijzing naar de CRL Binnen de regelgeving van PKIoverheid is vereist dat, uitgezonderd de stamcertificaten, ieder certificaat een eenduidige verwijzing naar de voor hem geldende CRL bevat. Dit is niet anders voor de twee momenteel nog geldige certificaten van de inmiddels onbetrouwbare DigiNotar PKIoverheid CA's: Het certificaat van de DigiNotar PKIoverheid CA Overheid en Bedrijven verwijst naar de Actuele lijst met ingetrokken CSPcertificaten Domein Overheid opvraagbaar op adres http://crl.pkioverheid.nl/domovlatestcrl.crl Het certificaat van de DigiNotar PKIoverheid CA Organisatie - G2 verwijst naar de Actuele lijst met ingetrokken CSP-certificaten onder G2 Domein Organisatie opvraagbaar op adres http://crl.pkioverheid.nl/domorganisatielatestcrl-g2.crl Elke PKI-toepassing die één van beide DigiNotar PKIoverheid sub CAcertificaten wil valideren, wordt hiermee gewezen op het bestaan en het publicatiepunt van de relevante intrekkingslijst. 1.4 Een PKI-toepassing moet zijn ingesteld voor CRL-opvraging Er mag van worden uitgegaan dat de meeste systemen die gebruik maken van PKI certificaten in staat zijn om CRL controles uit te voeren. Echter, niet alle systemen zijn af-fabriek zodanig ingesteld, dat zij dit automatisch doen. Een voorbeeld van dat laatste zijn de meeste, zo niet alle, versies van Microsoft Internet Explorer, waarin bijvoorbeeld de instelling Check for server certificate revocation expliciet moet worden geactiveerd door de gebruiker of beheerder. Wordt dat achterwege gelaten, zal Internet Explorer geen CRL-controles doen. Pagina 6 van 8

In het Programma van Eisen van PKIoverheid staat overigens expliciet vermeld, dat vertrouwende partijen geacht worden om certificaatstatus controles uit te voeren. Veel andere PKI-hiërarchieën stellen een vergelijkbare eis. Zonder die controle kan een vertrouwende partij geen enkele aanspraak doen op de betrouwbaarheid van een certificaat. Dit betekent dat PKI-toepassingen geacht worden de eerder genoemde intrekkingslijsten op te vragen en te controleren. 1.5 Een reëel risico op het gebruik van een verouderde CRL Elke CRL bevat, naast de lijst van serienummers van ingetrokken certificaten, een vermelding van het tijdstip waarop deze CRL werd gecreëerd ( thisupdate ) en van het tijdstip waarop uiterlijk een meer actuele versie van deze intrekkingslijst gepubliceerd zal worden ( nextupdate ). Veel PKI-toepassingen zijn af-fabriek zodanig ingesteld, dat zij de nextupdate interpreteren als een soort houdbaarheidsdatum. Met andere woorden, als zo'n PKI-toepassing een CRL-controle moet doen, maar hij beschikt nog over een lokaal opgeslagen exemplaar van de CRL waarvan de nextupdate nog niet is verstreken, dan zal de PKItoepassing gebruik maken van dat lokale exemplaar. Dit proces wordt CRL-caching genoemd. Een CA kan echter op ieder moment, besluiten een CRL te actualiseren en te publiceren. Dit kan dus ook plaatsvinden ruim voor de nextupdate, zoals die in een eerder gepubliceerde CRL-versie bestond. PKI-toepassingen die CRL-caching gebruiken, lopen dan achter op de feiten en lopen het risico dat zij recent ingetrokken certificaten toch nog vertrouwen. Voor de twee met de geplande intrekking van DigiNotar PKIoverheid sub CA s gemoeide CRL's wordt een publicatiefrequentie van 3 maanden gehanteerd. De thisupdate en nextupdate van beide momenteel gepubliceerde CRL's zijn hieronder weergegeven: Intrekkingslijst (CRL) thisupdate nextupdate Actuele lijst met ingetrokken CSP-certificaten domein Overheid 24-08-2011 11:41:05 22-11-2011 11:46:05 Actuele lijst met ingetrokken CSP-certificaten onder G2 domein Organisatie 11-08-2011 10:51:10 9-11-2011 10:56:10 Indien de certificaten van de DigiNotar PKIoverheid sub CA's nu (23-9- 2011) zouden worden ingetrokken, duurt het CRL-caching effect ongeveer twee maanden. Bovenstaande aanwijzing gaat er van uit dat aan de gebruikerszijde niets wordt gedaan aan de PKI-toepassingen. Aan die zijde kan de beheerder van een PKI-toepassing echter een eventuele CRL-cache geforceerd leeg maken, waarna de PKI-toepassing, bij gemis aan een lokaal exemplaar, vanzelf weer een actuele CRL zal ophalen. Het beleid van PKIoverheid (Programma van Eisen) in acht nemend, is de laatstgenoemde procedure de enige correcte. Pagina 7 van 8

1.6 Tot slot nog een taak voor de netwerkbeheerder Tot slot en wellicht een open deur: indien een PKI-toepassing een actuele CRL wenst op te vragen, is het noodzakelijk dat er een netwerkverbinding tussen de PKI-toepassing en de publicatieserver van PKIoverheid kan worden opgezet. Of dit een directe dan wel indirecte verbinding betreft, maakt in principe niet uit. De desbetreffende netwerkbeheerder heeft hierbij de taak om deze verbinding te faciliteren. Pagina 8 van 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback