BZK/DGOBR Logius Policy Authority PKIoverheid Postbus 96810 2509 JE Den Haag pkioverheid@logius.nl @@@ Wijzigingsvoorstel 358 (spoed) inzake PKIoverheid Programma van Eisen Nummer: 358 (spoed) : @@@ Van toepassing op PvE delen 1 2 3: basis 3: 3a 3b 3c aanvullend 3d 3e 3f 3g 3h 3i 4 Nieuwe eis Bestaande eis Eisnummer (indien Certificaatprofielen van toepassing) Redactionele wijziging Inhoudelijke wijziging Indiener Douglas Skirving Organisatie Logius Omschrijving verzoek Dit changeverzoek bevat 3 aanpassingen aan de certificaatprofielene uit PvE deel 3 De eerste aanpassing betreft het opheffen van een discrepantie tussen de beschrijving ({idetsi-qcs-qctype 2}) en de corresponderende waarde (0.4.0.1862.1.6.1.) in de QCStatement extensie in deel 3b. Deze wijziging is alleen van toepassing voor zegelcertificaten (e-seal), uitgegeven onder deel 3b De tweede aanpassing is een soortgelijke aanpassing om een discrepantie tussen de beschrijving ({ id-etsi-qcs-qctype 3}) en de corresponderende waarde (0.4.0.1862.1.6.1) in de QCstatement extensie in deel 3f. Dit betreft alleen gekwalificeerde websitecertificaten (QWAC s), niet reguliere EV certificaten uitgegeven onder deel 3f. De derde wijziging gaat over het verplicht stellen van het veld subject.organizationidentifier en bijbehorend veld QCstatement2 (met waarde id-etsi-qcs-semanticsid-legal) voor alle certificaten uitgegeven onder deel 3b. De verplichting voor genoemd veld komt voort uit ETSI EN 319 412-2, hoofdstuk 4.2.1. Tekstvoorstel Pagina 1 van 5
Criteria Critical? Criteria Critical? Wijziging 1 (, deel 3b) Veld / Attri- Be- Norm referentie Type Toelichting buut schrij ving QcStatement V/N [ ] RFC 3739, ETSI TS 102 280, ETSI TS 101 862 De genoemde QcStatement identifiers betreffen de volgende s: id-etsi-qcs-qccompliance { id-etsi-qcs 1 } 0.4.0.1862.1.1 id-etsi-qct-eseal { id-etsi-qcs-qctype 2 } 0.4.0.1862.1.6.12 Opmerking [JJB1]: 0.4.0.1862.1.6.1 id-etsi-qcs-qcsscd vervangen door 0.4.0.1862.1.6.2 { id-etsi-qcs 4 } 0.4.0.1862.1.4 id-etsi-qcs-qcpds { id-etsi-qcs 5 } 0.4.0.1862.1.5 Wijziging 2 (, deel 3f) Veld / Attri- Beschrijving Norm Type Toelichting buut referentie QcStatement V/N N e e Qualified Web Certificaten MOETEN aangeven dat zij zijn uitgegeven als gekwalificeerde certificaten overeenstemmend met annex IV van EU Verordening 910/2014. Deze overeenstemming wordt aangegeven door het opnemen van de id-etsi-qcs- QcCompliance statement in deze extensie. Qualified Web Certificaten MOETEN aangeven dat zij zijn uitgegeven als type certificaat overeenstemmend met annex IV van EU Verordening 910/2014. Deze overeenstemming wordt aangegeven door het opnemen van de id-etsi-qct-web statement in deze extensie. RFC 3739, ETSI TS 102 280, ETSI TS 101 862 De genoemde QcStatement identifiers be de volgende s: id-etsi-qcs-qccompliance { id-etsi-qcs 1 } 0.4.0.1862.1.1 id-etsi-qct-web { id-etsi-qcs-qctype 3 } 0.4.0.1862.1.6.13 Opmerking [JJB2]: 0.40.1862.1.6.1 id-etsi-qcs-qcsscd vervangen door 0.4.0.1862.1.6.3 { id-etsi-qcs 4 } 0.4.0.1862.1.4 id-etsi-qcs-qcpds { id-etsi-qcs 5 } 0.4.0.1862.1.5 Qualified Web Certificaten MOGEN aangeven dat de private sleutel behorende bij de publieke sleutel in het certificaat is opgeslagen op een qualified signature-creation device (QSCD) overeenstemmend met annex II met EU Verordening 910/2015. Deze overeenstemming wordt aangegeven door het opnemen van de id-etsi-qcs- Pagina 2 van 5
Verplicht? Criteria QcSSCD statement in deze extensie. Indien gebruik gemaakt wordt van een QSCD MOET dit statement worden opgenomen. In Qualified Web Certificaten MOET worden verwezen naar de locatie van het PKI Disclosure Statement (PDS). Deze URL moet worden opgenomen in het id-etsi-qcs-qcpds statement in deze extensie. Wijziging 3 (opname van velden subject.organizationidentifier en QCstatement2 in deel 3b) Toevoegen aan het subject veld: Veld / Attribuut Beschrijving Norm referentie Type Toelichting subject.orga nizationiden tifier V/ O In het organizationidentifier veld wordt een identificatie van de abonnee organisatie opgenomen. Verplicht voor certificaten uitgegeven onder de G3 hiërarchie en optioneel onder de G2. EN 319 412-3 String De opmaak van de identificatiestring wordt gespecificeerd in paragraaf 5.1.4 van ETSI EN 319 412-1 en bevat: 3 character legal person identity type reference; 2 character ISO 3166 [2] country code; hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8)); and identifier (according to country and identity type reference). Toevoegen aan de (private) extensies: QcStatement-2 V/ O In deze extensie dient een id-etsi-qcs- SemanticsId-Legal statement te worden opgenomen. Met deze semantics identifier wordt aangegeven dat de organizationalidentifier in het subject conform de voorgeschreven opmaak is vormgegeven. Indien het veld subject.organizationidentfier is opgenomen in het certificaat MOET dit veld worden opgenomen. In alle andere gevallen MAG dit veld NIET worden opgenomen. ETSI EN 319 412-1 De genoemde QcStatement identifiers betreffen de volgende s: id-etsi-qcs-semanticsid- Legal { id-etsi-qcs-semanticsidentifiers 2 } 0.4.0.194121.1.2 Impactanalyse De impact van de eerste twee wijzigingen is vermoedelijk laag. Genoemde typen certificaten worden op dit moment (nog) niet uitgegeven. De derde wijziging kan, zeker bij bestaande G2 certificaatprofielen, behoorlijke impact hebben. Het opnemen van genoemde velden is hoe dan ook verplicht indien een TSP wil voldoen aan de eisen gesteld in ETSI EN 319 411-1 (die verwijst naar 412-3 voor certificaatprofielen). Pagina 3 van 5
Argumentatie De wijziging zoals nu voorgesteld (waarbij de nieuwe velden subject.organizationidentifier en QCstatement2 optioneel zijn gesteld voor G2 in deel 3b) is vooral bedoeld voor TSP s die nu nog uitgeven onder G2 en nog beoordeeld worden/zijn conform de oude normen. Zoals bekend dienen de TSP s uiterlijk 1 juli 2017 bewijs te hebben ingeleverd bij de toezichthouder dat zij voldoen aan de nieuwe ETSI normen en vereisten uit de eidas verordening. Dat betekent dat een TSP tegen die tijd ook moet voldoen aan de certificaatprofielen zoals gesteld in de ETSI EN 319 412-x serie. Daarmee wordt genoemd veld de facto dus ook verplicht voor de G2. Samenvattend: De optionele keuze voor genoemde velden bij G2 moet dan ook worden gelezen als optioneel tot het moment dat een TSP overstapt op het nieuwe audit regime. Bij publicatie van PvE 4.5 (voorzien voor 1 juli 2017) zal genoemd veld dan ook verplicht zijn voor zowel G2 als G3. De PA kan hierop GEEN dispensatie op verlenen, daar dit ETSI betreft en niet het Programma van eisen PKIoverheid. Pagina 4 van 5
Uitspraak PKIo wijzigingenoverleg Uitspraak PKIo stelseloverleg effectuering wijziging 9-3-2017 Verwerkt in versie PvE 4.5 Pagina 5 van 5