Inloggen Geen profiel? Registreer hier.

Bijsturing FedICT digitale certificaten – Wat nu?

22/01/2015

FedICT kondigde in december 2014 een bijsturing aan van de dienstverlening van de uitgifte van digitale certificaten, bijgevolg zoeken de afnemers ervan naar alternatieven. Ook de Vlaamse overheid reikt digitale certificaten uit. Deze kunnen voor bepaalde doeleinden (maar niet allemaal) een alternatief bieden.

Op 22 december 2014 kondigde FedICT aan dat ze genoodzaakt zijn om de uitgifte van digitale certificaten stop te zetten vanaf 1 februari 2015.  

De certificaten die FedICT uitgaf, blijven wel geldig tot de einddatum van het certificaat (looptijd).  Digitale certificaten worden bvb. gebruikt om een versleuteld communicatiekanaal (encryptie) op te zetten, of om berichten die uitgewisseld worden voor digitaal te tekenen (controle van integriteit en onweerlegbaarheid).

Lokale besturen maakten gebruik van certificaten van FedICT om onder andere webservers en netwerken te beveiligen. Wanneer zij nieuwe certificaten nodig hebben moeten ze hiervoor dus op zoek naar een nieuwe leverancier.

Welke leverancier u hiervoor kunt aanspreken, hangt af van het doel:

  • Voor certificaten die dienen om de gegevensuitwisseling binnen het bestuur of met andere besturen te beveiligen, kunnen lokale besturen terecht bij het Digitaal Certificaten Beheer-platform van de Vlaamse overheid. (VO-DCB of Vlaamse overheid Digitaal Certificaten Beheer). Lokale besturen die ingestapt zijn in de digitale bouwaanvraag of gebruik maken van toepassingen van AGIV maken nu al gebruik van certificaten van de Vlaamse overheid.
  • Voor certificaten die de uitwisseling van gegevens met externen (burgers, ondernemer, … ) beveiligen, zoals bijvoorbeeld een webportaal met aanmelding met e-ID,  kunnen de lokale besturen terecht bij een erkende (meestal commerciële) Certificate Authority.

In deze communicatie proberen we met 10 vragen en antwoorden de grootste – vaak technische – onduidelijkheden weg te werken:

Vraag 1 - Welk type certificaten kunnen bij de Vlaamse overheid aangevraagd worden?

De Vlaamse overheid reikt deze certificaten uit (key usage):

  1. Server SSL certificaat
  2. Client SSL certificaat
  3. Signing certificaat
  4. SSL Client + Signing certificaat (gecombineerd)
  5. Machine authenticatie certificaat

Meer informatie over de certificaatprofielen vindt u in de ‘Certificate Practice Statement’ (CPS), die kan geconsulteerd worden op: https://documenten.pki.vlaanderen.be.

In de CPS vindt u ook informatie over de Certificate Revocation Lists (CRL) en Online Certificate Status Protocol (OCSP) dienst.

Vraag 2 - Wat is de looptijd van deze certificaten?

De looptijd van het certificaat wordt zelf gekozen door de aanvrager (de ‘certificaatbeheerder’), bij het opladen van de Certificate Signing Request (CSR). Er is keuze tussen 1, 2, 3 of 5 jaar (+ telkens 2 maanden).

Vraag 3 - Hoe lang duurt het om een certificaat van de Vlaamse overheid te bekomen?

Het uitreiken van een certificaat door de Vlaamse overheid gebeurt onmiddellijk na het opladen van de CSR (Certificate Signing Request), in de toepassing VO-DCB (Vlaamse overheid Digitaal Certificaten Beheer).  Dit kan omdat de Registration Authority rol anders werd opgezet, dan bij de meeste Certificate Authorities (CA’s).

De entiteiten die certificaten van de Vlaamse overheid willen gebruiken, spreken vooraf af welke certificaten ze zullen aanvragen.  Een door de organisatie gemandateerde ‘certificaatbeheerder’ zal nadien aanmelden op VO-DCB, om daar de CSR op te laden, en onmiddellijk daarna het certificaat te downloaden.

De lokale beheerder van het lokale bestuur of van een entiteit van de Vlaamse overheid, kan een certificatenbeheerder aanduiden via het 'gebruikersbeheer voor lokale besturen’ of het ‘gebruikersbeheer VO ambtenaren’. Dit is eveneens geldig voor scholen.

Vraag 4 - Wie kan certificaten van de Vlaamse overheid aanvragen?

Entiteiten van de Vlaamse overheid, lokale besturen (gemeenten, steden en provincies), en onderwijsinstellingen kunnen digitale certificaten aanvragen bij de Vlaamse overheid.  

Een voorwaarde is dat de ‘certificaatbeheerder’ gekend is in de toepassing ‘Gebruikersbeheer’ van de Vlaamse overheid.

Vraag 5 - Hoe verloopt het proces om certificaten aan te vragen bij de Vlaamse overheid?

Binnen een project wordt met de Vlaamse overheid afgesproken welke certificaten nodig zijn (type, inhoud van de CN in het certificaat, enz). Pas nadat de nodige configuraties zijn uitgevoerd, kan een door de organisatie gemandateerde certificaatbeheerder een CSR opladen, en het certificaat bekomen. De Certificate Signing Request (CSR) dient exact dezelfde CN te bevatten, die eerder werd afgesproken met de Vlaamse overheid.

Vraag 6 - Hoeveel kost het bekomen van een certificaat uitgereikt door de Vlaamse overheid?

De Vlaamse overheid rekent geen kosten aan voor de certificaten die uitgereikt worden.

Vraag 7 - Zijn de certificaten van de Vlaamse overheid (technisch en functioneel) op dezelfde manier inzetbaar als de certificaten die uitgereikt werden door FedICT?

De certificaten die uitgereikt worden door de Vlaamse overheid zijn van het type X509 v3, en conform met de IETF RFC 2459.  Ze  zijn dus technisch gelijkwaardig aan de certificaten die uitgereikt werden door FedICT (en vele andere Certificate Authorities (CA’s)), en kunnen  ingezet worden op een gelijkaardige manier, voor de beveiliging van toepassingen en datastromen.

Er is echter wel een belangrijk verschil:

  • De certificaten die uitgereikt werden door FedICT beschikten in de certificatieketen (‘certificate chain’) over een cross-certification ('cross-signing') van Baltimore (eerder van Globalsign).  Baltimore en Globalsign zijn publieke Certificate Authorities (CA’s) die door alle internet browsers standaard (zonder verdere actie) als 'trusted CA' worden aanzien. Aangezien de CA die vermeld wordt in de top van de certificaatketen (i.e. Globalsign of Baltimore) standaard vertrouwd (‘trusted’) is, erfden de FedICT CA servers deze trust.  

Hierdoor konden de certificaten uitgegeven door FedICT ook ingezet worden om webtoepassingen beveiligd (met ‘HTTPS') te ontsluiten naar computers van externe eindgebruikers zoals vb. burgers.

  • Bij het opzetten van de Vlaamse overheid certificatendienst, werd echter beslist deze NIET te voorzien van een cross-signing door een publieke Certificate Authority.  Aan cross-signing zijn immers budgettaire gevolgen verbonden en bovendien zijn er alternatieve CA’s die dergelijke certificaten afleveren. De Root CA-server van de Vlaamse overheid gebruikt een 'self-signed' certificaat.  
    Hierdoor kan het 'Server SSL' certificaat dat uitgereikt wordt door de Vlaamse overheid NIET gebruikt worden oem van webtoepassingen naar computers van externe eindgebruikers zoals vb. burgers te ontsluiten.  Als deze toch gebruikt worden, krijgt de burger een foutmelding dat het gebruikte certificaat uitgegeven is door een ongekende Certificate Authority. Dit zou de burger verwarren, wat niet wenselijk is.  

Dus samengevat:

Het 'Server SSL' certificaat uitgereikt door de Vlaamse overheid is perfect inzetbaar om datastromen tussen servers en systemen te beveiligen, waar slechts eenmaal het certificaat van de VO Root en Issuing CA dient geïmporteerd te worden om de certificaatketen trust te bevestigen.

Voor het ontsluiten van webtoepassing via HTTPS naar computers van externe eindgebruikers zoals vb. burgers van burgers, moet u certificaten van een commerciële CA gebruiken.

Vraag 8 - Welk type certificaten kunnen NIET bij de Vlaamse overheid aangevraagd worden? Waar kan ik daarvoor wel terecht?

Certificaten die een andere key-usage hebben dan de certificaat types die vermeld zijn in vraag 2 (zie voor details naar de Certificate Practice Statement (CPS) op https://documenten.pki.vlaanderen.be), zijn momenteel niet beschikbaar.

Hou ook rekening met de beperking vermeld in de opmerking in vraag 1, met name dat de Vlaamse CA (Certificaat autoriteit of Certificate Authority) die de certificaten uitreikt, niet standaard ‘trusted’ is door de internet browsers.  Daarom kunnen de Server SSL certificaten van de Vlaamse overheid niet gebruikt worden om een webgebaseerde toepassing te ontsluiten naar internet (bvb naar burgers).  Een digitaal certificaat dat uitgegeven wordt door een in de browser standaard ‘trusted’ CA, kan u aankopen bij een (commerciële) CA die standaard ‘trusted’ is in de internet browsers die gebruikt zullen worden (i.e. door de toepassing ondersteund worden).

Vraag 9 - Zijn er in de nabije toekomst mogelijkheden om Server SSL certificaten via de Vlaamse overheid te verkrijgen, die inzetbaar zijn voor het ontsluiten van webgebaseerde toepassingen naar internet?

De Vlaamse overheid heeft geen plannen om cross-signing te bekomen voor de uitgereikte certificaten.  Het is dan ook niet mogelijk om het Server SSL certificaat uitgereikt door de Vlaamse overheid CA, te gebruiken om een webgebaseerde toepassing te ontsluiten naar internet.  Hiervoor koopt u een certificaat bij een commerciële CA die door de meest gangbare browsers standaard ‘trusted’ is.

Vraag 10 - ik heb nog vragen over de certificaten dienstverlening van de Vlaamse overheid, aan wie kan ik die stellen ?

Hebt u nog vragen, dan kan u die stellen aan vo-dcb@vlaanderen.be