Certification Practice Statement van de Policy Authority PKIoverheid v3.8 voor G3, G2 en G1 CA certificaten

Table of Contents

1 Inleiding

1.1 Overzicht

1.1.1 Policy Authority voor de PKI voor de overheid

1.1.2 CA model PKIoverheid (geen RFC 3647)

1.2 Documentnaam en identificatie

1.2.1 Doel CPS (geen RFC 3647)

1.2.2 Verhouding CPS en CP (geen RFC 3647)

1.2.3 CA/Browser Forum Baseline Requirements (geen RFC 3647)

1.2.4 Positionering Programma van Eisen (geen RFC 3647)

1.2.5 Introductie Programma van Eisen(geen RFC 3647)

1.2.6 Toetreding tot en toezicht(geen RFC 3647)

1.2.7 Certificate Policies (CP's) (geen RFC 3647)

1.3 Betrokken partijen

1.4 Certificaatgebruik

1.5 Policy Beheer

1.5.1 Organisatie verantwoordelijk voor het beheer van het CPS

1.5.2 Contactinformatie

1.5.3 Persoon die geschiktheid beoordeelt van CPS voor het CP

1.5.4 Wijzigingsprocedure CPS

1.6 Definities en afkortingen

1.7 Waarborgen (geen RFC 3647)

1.8 Controle betrouwbaarheid (geen RFC 3647)

1.8.1 Betrouwbaarheid uitgevende instantie (geen RFC 3647)

1.9 Programma van Eisen en stelseloverleg PKIoverheid (geen RFC 3647)

2 Publicatie en verantwoordelijkheid voor elektronische opslagplaats

2.1 Elektronische Opslagplaats

2.2 Publicatie certificaat informatie

2.2.1 Officiële elektronische bekendmaking (geen RFC 3647)

2.2.2 Distributie Publieke Sleutel (geen RFC 3647)

2.3 Frequentie van publicatie

2.4 Toegang tot publicatie

3 Identificatie en authenticatie

3.1 Naamgeving

3.1.1 Soorten naamformaten

3.1.2 Noodzaak gebruik betekenisvolle namen

3.1.3 Pseudoniemen

3.1.4 Regels voor het interpreteren van verschillende naamvormen

3.1.5 Uniciteit van namen

3.1.6 Erkenning, authenticatie en de rol van handelsmerken

3.2 Initiële identiteitsvalidatie

3.2.1 Initieel Registratieproces

3.2.2 Authenticatie van organisatorische entiteit

3.2.3 Authenticatie van persoonlijke identiteit

3.3 Identificatie en authenticatie bij vernieuwing van een certificaat

3.4 Identificatie en authenticatie bij intrekking van een certificaat

4 Operationele eisen certificaatcyclus

4.1 Toepassingsgebied

4.2 Aanvraag van certificaten

4.2.1 Werkwijze met betrekking tot creatie van certificaten

4.3 Uitgifte van certificaten

4.4 Acceptatie van certificaten

4.5 Sleutelpaar en certificaatgebruik

4.6 Vernieuwen van certificaten

4.7 Rekey van certificaten

4.8 Aanpassing van certificaten

4.9 Intrekking en opschorting van certificaten

4.10 Certificaat statusservice

4.10.1 Operationele eigenschappen van de certificaat statusservice

4.10.2 Beschikbaarheid certificaat statusservice

4.10.3 Optionele kenmerken van de certificaat statusservice

4.11 Beëindiging

4.11.1 Overdracht PKIoverheid

4.12 Key escrow en key recovery

4.13 Registratie van certificaathouders (geen RFC 3647)

5 Fysieke, procedurele en personele beveiliging

5.1 Fysieke beveiliging

5.2 Procedurele beveiliging

5.3 Personele beveiliging

5.4 Audit logging procedures ten behoeve van beveiligingsaudits

5.5 Archiveren van documenten

5.6 Vernieuwen sleutels

5.7 Compromittatie en continuïteit

6 Technische beveiliging

6.1 Genereren en installeren van sleutelparen

6.2 Private sleutel bescherming en beheersmaatregelen cryptografische modulen

6.3 Andere aspecten van sleutelpaar management

6.4 Activeringsgegevens

6.5 Beheersingsmaatregelen computersystemen

6.6 Beheersingsmaatregelen technische levenscyclus

6.7 Netwerkbeveiliging

6.8 Tijdstempelen

6.9 Cryptografische algoritmes (geen RFC 3647)

7 Certificaat- en CRL profielen

7.1 Certificaatprofielen

7.2 CRL profielen

7.3 OCSP profielen

8 Conformiteitbeoordeling

8.1 Frequentie en omstandigheden van de conformiteitsbeoordeling

8.2 Identiteit, kwalificaties van de auditor

8.3 Onderwerpen behandeld door de conformiteitbeoordeling

8.4 Acties op basis van afwijkingen

8.5 Communiceren van de resultaten

8.6 Toetreden CSP's tot de PKI voor de overheid

8.6.1 Bewijs van conformiteit CSP (geen RFC 3647)

9 Algemene en juridische bepalingen

9.1 Tarieven

9.2 Financiële verantwoordelijkheid en aansprakelijkheid

9.3 Vertrouwelijkheid van organisatiegegevens

9.4 Vertrouwelijkheid van persoonsgegevens

9.5 Intellectuele eigendomsrechten

9.6 Aansprakelijkheid en verplichtingen

9.7 Verwerping van aansprakelijkheid

9.8 Beperkingen van aansprakelijkheid

9.9 Vrijwaring

9.10 Geldigheidsduur en ontbinding CPS

9.11 Afspraken en communicatie tussen entiteiten uit de PKIoverheid-hiërarchie

9.12 Wijzigingen

9.13 Geschillenbeslechting

9.14 Van toepassing zijnde wetgeving

9.15 Naleving relevante wetgeving

Bijlage A. Tekst bekendmaking stamcertificaat

Bijlage B. Procedures voor het wijzigingenbeheer van het PvE PKIoverheid

Bijlage C. Certificaatprofiel CSP CA

Bijlage D. Inhoud velden G1 stamcertificaten en domeincertificaten

Bijlage E. Inhoud velden G2 stamcertificaten en domeincertificaten

Bijlage F. Inhoud velden G3 stamcertificaten en domeincertificaten

Revisiegegevens

Versie

Datum goedkeuring

Datum inwerkingtreding

Status

Auteur

Manager

Omschrijving

1.0

18-04-2003

18-04-2003

Vastgesteld door stuurgroep eID/PKI 17-04-2003

Policy Authority

T. Behre

-

1.1

18-05-2005

18-05-2005

Vastgesteld door BZK 18 mei 2005

Policy Authority

T. Behre

Wijzigingen naar aanleiding van aanbevelingen voortkomend uit de WebTrust-audit.

2.0

02-12-2005

02-12-2005

Vastgesteld door BZK 14 december 2005

Policy Authority

T. Behre

Wijzigingen naar aanleiding van het herziene PvE.

2.6

15-5-2007

15-5-2007

Vastgesteld door directeur GBO.Overheid

15 mei 2007

Policy Authority

R. Houtsma

Wijzigingen naar aanleiding van GBO.Overheid, certificaatvernieuwing en CA termination proces

3.0

06-01-2009

06-01-2009

Vastgesteld door directeur GBO.Overheid

13 januari 2009

Policy Authority

R. Houtsma

Wijzigingen naar aanleiding van creatie nieuw stamcertificaat

3.1

17-11-2009

17-11-2009

Vastgesteld door directeur GBO.Overheid

17 november 2009

Policy Authority

H. Verweij

Wijzigingen naar aanleiding van creatie Domein CA Autonome Apparaten

3.2

11-01-2010

11-01-2010

-

Policy Authority

H. Verweij

Wijziging naar aanleiding van naamswijziging GBO.Overheid in Logius

3.3

18-01-2011

25-01-2011

Vastgesteld door directeur Logius

18-01-2011

Policy Authority

H. Verweij

Wijzigingen naar aanleiding van aanbevelingen voortkomend uit de WebTrust-audit.

3.4

24-06-2011

01-07-2011

Vastgesteld door directeur Logius

24-06-2011

Policy Authority

H. Verweij

Redactionele wijzigingen o.a. i.v.m. hanteren van indeling RFC3647

3.5

29-06-2012

01-07-2012

Vastgesteld door directeur Logius

29-06-2012

Policy Authority

H. Verweij

Wijzigingen naar aanleiding van de Baseline Requirements van het CA/B forum en aanbevelingen voortkomend uit de WebTrust-audit

3.6

04-02-2013

04-02-2013

Vastgesteld door BZK

Policy Authority

H. Verweij

Wijzigingsprocedure is opgenomen in Bijlage B.

3.7

18-12-2013

18-12-2013

Vastgesteld door directeur Logius

Policy Authority

Mark Janssen

ETSI TS 101 456 is vervangen door ETSI EN 319 411-2

Toevoegen G3 hiërarchie

3.8

juni 2014

juli 2014

Vastgesteld door directeur Logius

Policy Authority

Mark Janssen

Paragraafindeling op basis van RFC 3647 verder aangescherpt. Diverse wijzigingen doorgevoerd naar aanleiding van de Webtrust audit.

1 Inleiding

1.1 Overzicht

1.1.1 Policy Authority voor de PKI voor de overheid

De Policy Authority van de PKI voor de overheid (PA PKIoverheid) ondersteunt de Minister van Binnenlandse Zaken en Koninkrijksrelaties (MinBZK) bij het beheer over de PKI voor de overheid.

De PKI voor de overheid is een afsprakenstelsel. Dit maakt generiek en grootschalig gebruik mogelijk van de elektronische handtekening, en faciliteert voorts identificatie op afstand en vertrouwelijke communicatie.

De taken van de PA PKIoverheid zijn:

1. het leveren van bijdragen voor de ontwikkeling en het beheer van het normenkader dat aan de PKI voor de overheid ten grondslag ligt, het zogeheten Programma van Eisen (PvE);

2. het proces van toetreding door Certification Service Providers (CSP's) tot de PKI voor de overheid begeleiden en voorbereiden van de afhandeling;

3. het toezicht houden op en controleren van de werkzaamheden van CSP's die onder de root van de PKI voor de overheid certificaten uitgeven.

De Policy Authority (PA) is verantwoordelijk voor het beheer van de gehele infrastructuur. De PKI voor de overheid is zo opgezet dat externe organisaties, de Certification Service Providers (CSP's), onder voorwaarden toe kunnen treden tot de PKI voor de overheid. Deelnemende CSP's zijn verantwoordelijk voor de dienstverlening binnen de PKI voor de overheid. De PA ziet toe op de betrouwbaarheid van de gehele PKI voor de overheid[1].

In algemene zin is de PA in het kader van PKIoverheid verantwoordelijk voor:

1. beheer van het normenstelsel van de PKI voor de overheid, het Programma van Eisen deel 3a t/m d;

2. beheer van Object Identifiers, de unieke nummers voor CSP's en hun CPS's;

3. creatie en beheer van sleutelpaar en het bijbehorende stamcertificaat;

4. intrekken van het stamcertificaat en ad hoc publicatie van de CRL;

5. periodieke publicatie van de CRL;

6. creatie en beheer van sleutelparen en de bijbehorende domeincertificaten;

7. intrekken van van domeincertificaten en ad hoc publicatie van de bijbehorende CRL;

8. voorbereiding inzake het toelaten van CSP's tot de PKIoverheid;

9. effectuering van de toelating van CSP's met inbegrip van creatie, uitgifte en beheer van CSP CA-certificaten;

10. voorbereiding inzake het intrekken van CSP CA-certificaten;

11. effectuering van het intrekken van CSP CA-certificaten;

12. houden van toezicht op toegelaten CSP's;

13. voorbereiding inzake het vernieuwen van CSP CA-certificaten;

14. effectuering van het vernieuwen van CSP CA-certificaten met inbegrip van creatie, uitgifte en beheer van nieuwe CSP CA-certifcaten;

15. registreren en beoordelen van meldingen omtrent aantasting van de PKIoverheid.

Het technisch beheer van het Staat der Nederlanden Root CA en de Staat der Nederlanden <Domein> CA en de bijbehorende Certificate Revocation Lists (CRL's) vindt plaats door Getronics Nederland B.V.

Het beheer van stamcertificaten en domeincertificaten is opgedragen aan de Policy Authority van de PKI voor de overheid. Deze organisatie is ondergebracht bij Logius (http://www.logius.nl), dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

De doelstelling van de Policy Authority is:

Het handhaven van een werkbaar en betrouwbaar normenkader voor PKI-diensten die voorziet in een vastgesteld beveiligingsniveau voor de communicatiebehoefte van de overheid en transparant is voor de gebruikers.

1.1.2 CA model PKIoverheid (geen RFC 3647)

Afbeelding met PKIoverheid CA model

Figuur 1 - CA model PKIoverheid

De Public Key Infrastructuur (PKI) voor de overheid kent een structuur waarbij een centraal en een uitvoerend c.q. lokaal deel van PKIoverheid is gedefinieerd. Daarbij is er sprake van een structuur c.q. root gebaseerd op het SHA-1 algoritme en een root gebaseerd op het SHA-256 algoritme. Verder is er, zowel voor de SHA-1 root als ook de SHA-256 root, een indeling gemaakt in verschillende domeinen. Voor de SHA-1 root is sprake van de domeinen Overheid/Bedrijven (deze twee domeinen zijn in de loop van de tijd samengevoegd) en Burger. Voor de SHA-256 root is er sprake van een domein Organisatie, een domein Burger en een domein Autonome Apparaten. Het betreft hier een tijdelijke situatie. Op een nog nader door de PA te bepalen moment zal de root, gebaseerd op het SHA-1 algoritme, niet langer gebruikt worden voor het produceren van certificaten.

De root en de domeinen o.b.v. het SHA-1 algoritme worden aangemerkt als G1, waarbij G staat voor generatie. De root en de domeinen o.b.v. het SHA-256 algoritme worden aangemerkt als G2 en G3.

Binnen het centrale deel van de PKI voor de Overheid wordt een aantal actoren onderscheiden. Deze actoren zijn (zie Figuur 1):

1. de Overheids (Ov)-PA, op het hoogste niveau verantwoordelijk voor het vaststellen van het beleid en normen van algemene aard die gelden binnen de PKI voor de overheid en uitgifte van certificaten;

2. de Ov-CA, betreft een technische component die het hoogste (of root) certificaat produceert binnen de PKI voor de overheid en certificaten produceert voor de onderliggende domein CA's;

3. de Domein (D)-PA, die de domeinspecifieke invulling van de normen van de Ov-PA verzorgt, en de voorwaarden van uitgifte van certificaten binnen een domein vaststelt;

4. de D-CA, betreft een technische component die de feitelijke productie van certificaten voor de CSP's verricht.

Het overkoepelende overheidsniveau en het domeinniveau vormen de beleidsstructuur van de PKI. Binnen deze niveaus worden beleid en normen vastgesteld en wordt het toezicht georganiseerd.

Het CSP-niveau vormt het uitvoerend c.q. lokaal deel van het Public Key Infrastructuur (PKI) voor de overheid waar de directe interactie met de gebruikers plaatsvindt. Op het CSP-niveau heeft de CSP-organisatie de eindverantwoordelijkheid voor het uitgeven van certificaten.

1.2 Documentnaam en identificatie

De Certification Practice Statement certificaten binnen de PKI voor de overheid (verder te noemen CPS) biedt informatie aan CSP's, abonnees, vertrouwende partijen en certificaathouders over de procedures en getroffen maatregelen ten aanzien van de dienstverlening van de PA met betrekking tot certificaten. Het CPS beschrijft de processen, procedures en beheersingsmaatregelen voor het aanvragen, produceren, verstrekken, beheren en intrekken van certificaten, voor zover dat valt onder directe verantwoordelijkheid van de PA. Dit betekent dat dit CPS alleen betrekking heeft op PKIoverheid Laag 1 (Staat der Nederlanden Root CA) en Laag 2 (Staat der Nederlanden <Domein> CA).

Daarnaast beschrijft dit CPS de processen en procedures voor het aanvragen, produceren, verstrekken en intrekken van Laag 3 <CSP naam> CA certificaten.

Voor een beschrijving van de processen, procedures en beheersings-maatregelen voor het aanvragen, produceren, verstrekken, beheren en intrekken van Laag 4 (eindgebruiker certificaten) wordt hierbij verwezen naar de betreffende diverse Certification Practice Statements van de PKIoverheid certificatiedienstverleners

De indeling van dit CPS is zoveel mogelijk conform de RFC3647[2] standaard (voluit: “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework”) van de Internet Engineering Task Force.

Formeel wordt het voorliggend document aangeduid als 'Certification Practice Statement certificaten binnen de PKI voor de overheid'.

CPS

Omschrijving

Naamgeving

CERTIFICATION PRACTICE STATEMENT (CPS) Policy Authority PKIoverheid voor certificaten uit te geven door de Policy Authority van de PKI voor de overheid

Link

https://www.logius.nl/producten/toegang/pkioverheid/documentatie/cps/

OID

n.v.t.

Openbare informatie over de PA of de PKI voor de overheid is te vinden op http://www.logius.nl/pkioverheid.

1.2.1 Doel CPS (geen RFC 3647)

Dit CPS biedt informatie aan CSP’s, abonnees, vertrouwende partijen en certificaathouders over de procedures en getroffen maatregelen ten aanzien van de dienstverlening van de PA. De kwaliteit van de dienstverlening ligt ten grondslag aan het vertrouwen dat in de PKI voor de overheid gesteld kan worden. Hierbij is ook de relatie tussen de PA en Certification Service Providers (CSP's) van belang. Deze relatie en de voorwaarden waaronder CSP's kunnen deelnemen aan de PKI voor de overheid zijn op hoofdlijnen beschreven. CSP's die zijn geïnteresseerd in deelname aan de PKI voor de overheid kunnen over dit onderwerp meer gedetailleerde informatie PKIoverheid Programma van Eisen deel

2.

1.2.2 Verhouding CPS en CP (geen RFC 3647)

Het CP PvE deel 3a t/m d beschrijft de minimumeisen die zijn gesteld aan de dienstverlening van een CSP binnen PKIoverheid. Dit voorliggende CPS geeft aan op welke wijze invulling wordt gegeven aan de PKIoverheid dienstverlening, voor zover dit valt onder directe verantwoordelijkheid van de PA.

1.2.3 CA/Browser Forum Baseline Requirements (geen RFC 3647)

De PA van PKIoverheid conformeert zich aan de huidige versie van de Baseline Requirements for Issuance and Management of Publicly-Trusted Certificates zoals gepubliceerd op http://www.cabforum.org. Mocht er een inconsistentie aanwezig zijn tussen het PKIoverheid Programma van Eisen deel 3b [2.16.528.1.1003.1.2.2.6 en 2.16.528.1.1003.1.2.5.6] en de betreffende Requirements, waardoor niet tenminste tegemoet wordt gekomen aan de hierin beschreven minimale eisen, dan prevaleert het gestelde in de Requirements.

1.2.4 Positionering Programma van Eisen (geen RFC 3647)

Het Programma van Eisen is het uitgangspunt voor de dienstverlening van de PA. In het Programma van Eisen zijn de eisen geformuleerd voor de PKI voor de overheid, deze eisen zijn ontleend aan internationale standaarden en de van toepassing zijnde wetgeving. Het Programma van Eisen omvat vier delen en in ieder deel is een bepaald aspect van de PKI voor de overheid nader uitgewerkt.

1.2.5 Introductie Programma van Eisen(geen RFC 3647)

Dit deel bevat een introductie op het Programma van Eisen en de PKI voor de overheid.

1.2.6 Toetreding tot en toezicht(geen RFC 3647)

In deel 2 wordt beschreven op welke wijze een CSP kan toetreden tot de PKI voor de overheid, conformiteit aan de eisen kan aantonen en aan welke formaliteiten moet worden voldaan. Tevens is beschreven op welke wijze de PA toezicht houdt op de toegetreden CSP's.

1.2.7 Certificate Policies (CP's) (geen RFC 3647)

Dit deel heeft betrekking op de eisen die aan de dienstverlening van een Certification Service Provider (CSP) worden gesteld. Er zijn vijf gebieden gedefinieerd die elk in een afzonderlijk deel worden behandeld, te weten:

Deel 3a – Certificate Policy voor Domein Overheid/Bedrijven, Organisatie en Organisatie Persoon;

Deel 3b – Certificate Policy voor Services en Domein Organisatie Services;

Deel 3c – Certificate Policy voor Domein Burger;

Deel 3d – Certificate Policy voor Domein Autonome Apparaten;

Deel 3e – Certificate Policy voor Extended Validation.

Dit CPS heeft alleen betrekking op CP deel 3a t/m d. Het “CPS Policy Authority PKIoverheid voor Extended Validation certificaten uit te geven door de Policy Authority van de PKI voor de overheid” heeft betrekking op CP deel 3e.

1.3 Betrokken partijen

In dit CPS wordt een vijftal partijen onderkend met elk hun eigen verantwoordelijkheid binnen de PKI voor de overheid. Deze partijen zijn achtereenvolgens:

1. het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK);

2. de Policy Authority (PA);

3. de Certification Service Provider (CSP);

4. Abonnee;

5. Certificaathouder;

6. de vertrouwende partij.

Onderstaand zijn voor elk van deze partijen de verantwoordelijkheden en de daarbij behorende activiteiten kort beschreven.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is verantwoordelijk voor de PKI voor de overheid. BZK neemt beslissingen met betrekking tot de inrichting van de infrastructuur en de deelname van CSP's aan de PKI voor de overheid. De directeur van Logius vertegenwoordigt BZK in deze.

De PA adviseert de directeur van Logius en is verantwoordelijk voor het beheer van het centrale deel[3] van de PKI voor de overheid infrastructuur en het toezicht houden op en controleren van de werkzaamheden van CSP's die onder de Staat der Nederlanden Root CA van de PKI voor de overheid, certificaten uitgeven.

Per domein van de PKI voor de overheid opereren één of meer CSP's. Een CSP geeft binnen een domein van de PKI voor de overheid certificaten uit aan certificaathouders. De verplichtingen van de CSP's die deel uitmaken van de PKI voor de overheid zijn gespecificeerd in het Programma van Eisen, deel 3a t/m d: Certificate Policies.

Een abonnee gaat een overeenkomst aan met een CSP namens één of meer certificaathouders. Hóe de levering van certificaten door de CSP aan die certificaathouders plaatsvindt, regelen de abonnee en de CSP onderling.

De certificaathouder is de houder van de private sleutel behorend bij de publieke sleutel die in het certificaat vermeld is. Op alle niveaus in de hiërarchie van de PKI voor de overheid bevinden zich certificaathouders. Eindgebruikers ontvangen de certificaten van de CSP's. De PA geeft certificaten uit aan zichzelf (Staat der Nederlanden Root CA en Staat der Nederlanden <Domein> CA’s) en aan CSP's (CSP CA).

De vertrouwende partij is de ontvanger van een certificaat dat is uitgegeven binnen de PKI voor de overheid en handelt in vertrouwen op dat certificaat. De vertrouwende partij is verplicht om de geldigheid te controleren van de volledige keten van certificaten tot aan de bron (stamcertificaat) waarop wordt vertrouwd. Deze verplichting is opgenomen in het Programma van Eisen, deel 3: Certificate Policies.

1.4 Certificaatgebruik

Binnen de PKI voor de overheid zijn op vier niveaus verschillende typen certificaten gedefinieerd, te weten:

· Stamcertificaat;

· Domeincertificaat;

· CSP certificaat;

· Eindgebruikercertificaat.

Het stamcertificaat, de domeincertificaten en de CSP-certificaten kunnen uitsluitend worden gebruikt voor het verifiëren van de handtekening van de uitgever en worden uitgegeven door de Policy Authority. Het is niet toegestaan deze certificaten voor andere doeleinden te gebruiken. Het eindgebruikercertificaat wordt uitgegeven door de CSP's. Eindgebruiker-certificaten kunnen worden gebruikt voor authenticiteit, onweerlegbaarheid, vertrouwelijkheid en een combinatie van authenticiteit en vertrouwelijkheid.

Dit CPS heeft betrekking op de betrouwbaarheid van de dienstverlening van de Policy Authority, derhalve worden in deze paragraaf enkel de procedures met betrekking tot stam-, domein- en CSP certificaten behandeld.

1.5 Policy Beheer

1.5.1 Organisatie verantwoordelijk voor het beheer van het CPS

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor dit CPS. Het ministerie heeft deze taak gedelegeerd aan Logius. Dit omvat ook het goedkeuren van wijzigingen op dit CPS.

1.5.2 Contactinformatie

Voor klachten, vragen of meldingen kunnen CSP’s binnen het PKIoverheid stelsel contact opnemen met medewerkers van de PA PKIoverheid via de gebruikelijke kanalen. De PA PKIoverheid is binnen kantooruren beschikbaar en zal zo spoedig mogelijk reageren. In het geval van meldingen van incidenten of calamiteiten buiten kantoren wordt verzocht contact op te nemen met het Servicecentrum van Logius dat 24 uur per dag beschikbaar is.

Abonnees die vragen hebben omtrent certificaatuitgifte worden verzocht in eerste instantie contact op te nemen met hun (potentiële) CSP.

Overige betrokken partijen kunnen contact opnemen met het servicecentrum van Logius. Het servicecentrum registreert de vraag en beantwoordt deze binnen de gestelde termijn. Indien noodzakelijk worden vragen via het servicecentrum doorgezet naar de PA PKIoverheid of in het geval van een incident, de dienstdoende incidentmanager.

Contactgegevens:

Policy Authority PKIoverheid

Wilhelmina van Pruisenweg 52

Postbus 96810

2509 JE DEN HAAG

http://www.logius.nl/pkioverheid

Algemeen telefoonnummer: 0900-555 4555

Algemeen faxnummer: (070) 888 78 82

1.5.3 Persoon die geschiktheid beoordeelt van CPS voor het CP

De PA PKIoverheid kent geen eigen Certificate Policy. Goedkeuring van het CPS wordt behandeld in 1.5.4.

1.5.4 Wijzigingsprocedure CPS

De PA van PKIoverheid heeft het recht dit CPS te wijzigen of aan te vullen. Wijzigingen gelden vanaf het moment dat het nieuwe CPS gepubliceerd is, conform het gestelde in paragraaf 9.10. Het management van het Logius is verantwoordelijk voor een juiste navolging van de procedure zoals beschreven in paragraaf 9.12 en voor de uiteindelijke goedkeuring van dit CPS conform deze procedure.

1.6 Definities en afkortingen

In deel 4 zijn de in het Programma van Eisen gehanteerde definities en afkortingen toegelicht.

Voor een overzicht van de gebruikte definities en afkortingen wordt verwezen naar http://www.logius.nl/begrippenlijst.

1.7 Waarborgen (geen RFC 3647)

Bij de uitgifte van een PKIoverheid certificaten zijn onder meer de volgende partijen te onderkennen:

A. Abonnee;

B. Eindgebruiker;

C. Organisaties die internet browser software ontwikkelen;

D. Vertrouwende partijen.

Aan deze partijen wordt kenbaar gemaakt dat:

De PA van PKIoverheid waarborgt dat sub CA’s binnen het PKIoverheid stelsel bekend zijn bij de PA en onder controle blijven van de CSP die een sub CA heeft gecreëerd. Tevens zullen deze sub CA’s niet worden gebruikt voor man-in-the middle (MITM)doeleinden.

Alle sub CA certificaten die zijn uitgeven binnen de PKI voor de overheid staan vermeld op deze website:

https://www.logius.nl/producten/toegang/pkioverheid/documentatie/certificaten-pkioverheid/csp-certificaten/

PKIoverheid en haar certificatiedienstverleners waarborgen dat zij, gedurende de tijd dat een PKIoverheid services - server certificaat geldig is, bij de uitgifte van een PKIoverheid services - server certificaat de eisen uit de CA/Browser Forum Baseline Requirements en het PvE deel 3b [2.16.528.1.1003.1.2.2.6 en 2.16.528.1.1003.1.2.5.6], hebben gevolgd en dat zij de gegevens, zoals opgenomen in het services - server certificaat, hebben gecontroleerd op juistheid en volledigheid.

Voor een beschrijving van de waarborgen wordt hierbij verwezen naar de betreffende diverse Certification Practice Statements van de PKIoverheid certificatiedienstverleners.

1.8 Controle betrouwbaarheid (geen RFC 3647)

In figuur 2 wordt de structuur gepresenteerd vanuit het gezichtspunt van de vertrouwende partijen. Een vertrouwende partij heeft een certificaat (4) van een ander (de certificaathouder) en wil zekerheid omtrent de betrouwbaarheid van dit certificaat. Een certificaat wordt geverifieerd door de volgende controles uit te voeren[4]:

· Is het bericht tijdens verzending niet gewijzigd, ofwel is de integriteit gewaarborgd?

· Is het gebruikte certificaat ingetrokken en op zogenaamde "zwarte lijst" geplaatst?

· Is het certificaat nog geldig?

Afbeelding met overzicht van vertrouwensketen

Figuur 2 - Vertrouwensketen

Vervolgens wordt door de software vastgesteld of het certificaat door een vertrouwde instantie is uitgegeven. Om deze laatste controle te kunnen uitvoeren, moet de software beschikken over het stamcertificaat van de PKI voor de overheid. Wanneer het stamcertificaat niet aanwezig is, krijgt de gebruiker een foutmelding. Daarom heeft de PA ervoor gekozen om het stamcertificaat op te nemen in veelgebruikte besturingssystemen en (OpenSource) browsers.

Wanneer software wordt gebruikt waarin het stamcertificaat niet is opgenomen, kan de vertrou­wende partij het stamcertificaat op een betrouwbare wijze downloaden op www.logius.nl/pkioverheid.

Het CSP-certificaat (3) is uitgegeven door de PA en kan worden gecontroleerd aan de hand van het domeincertificaat (2). Dit laatste certificaat is ook uitgegeven door de PA en kan worden gecontro­leerd aan de hand van het stamcertificaat (1). Het vertrouwen in een certificaat hangt daarom op elk niveau van de PKI voor de overheid af van het vertrouwen dat men stelt in de partij die het cer­tificaat heeft uitgegeven. Vanuit het gezichtspunt van een vertrouwende partij is dat bij de eerste controlestap de CSP, bij de tweede stap de PA op het niveau van de domeinen en tenslotte de PA op het hoogste niveau van de hiërarchie. Het stamcertificaat is dus het ankerpunt van vertrouwen in de hiërarchie van de PKI voor de overheid en bepaalt het vertrouwen dat in alle andere certifi­caten die zijn uitgegeven binnen de PKI voor de overheid wordt gesteld. Door het vertrouwen uit te spreken in het stamcertificaat, worden alle onderliggende domein-, CSP- en eindgebruikercertifi­caten vertrouwd. De gebruikers hoeven dus slechts één certificaat te vertrouwen. Een belangrijk aspect hierbij is het bepalen van de betrouwbaarheid van de uitgevende instantie van het certifi­caat.

1.8.1 Betrouwbaarheid uitgevende instantie (geen RFC 3647)

Om te kunnen vertrouwen op een certificaat moet de vertrouwende partij bepalen of hij wil ver­trouwen op de uitgevende instantie (de CSP). Dit kan de vertrouwende partij doen door de Certifi­cation Practice Statement (CPS) van de CSP te beoordelen. Een verwijzing naar het CPS is opge­nomen in het certificaat. Om te voorkomen dat een vertrouwende partij iedere CPS van de CSP's binnen de PKI voor de overheid in detail moeten gaan beoordelen, is de hiërarchie van de PKI voor de overheid gecreëerd. De voorwaarden voor uitgifte, beheer en ook het gebruik van eindgebruiker­certificaten zijn door de PA beschreven in de zogenaamde CP. De CP is hiermee bepalend voor de CPS van de verschillende CSP's die actief zijn binnen de PKI voor de overheid.

Om van een betrouwbare hiërarchie te kunnen spreken is het dus van groot belang dat de PA op een betrouwbare wijze functioneert. De PA waarborgt de betrouwbaarheid van het stamcertificaat en de domeincertificaten door adequate beveiligingsmaatregelen toe te passen. Deze beveili­gingsmaatregelen evenals de wijze waarop de PA toezicht houdt op de CSP zijn beschreven in dit CPS van de PA. Door het CPS van de PA te beoordelen kan de vertrouwende partij vaststellen of hij/zij vertrouwt op een certificaat dat is uitgegeven binnen de hiërarchie van de PKI voor de over­heid. Daarnaast wordt het betrouwbaar functioneren van de PA periodiek vastgesteld door het laten uitvoeren van een audit door ex­terne auditors.

1.9 Programma van Eisen en stelseloverleg PKIoverheid (geen RFC 3647)

Het Programma van Eisen geldt als het formele normenkader ten aanzien van de betrouwbaarheid en kwaliteit van dienstverlening binnen de PKI voor de overheid. Bij het door de PA onderhouden van dit normenstelsel is het van belang dat ook de praktijkervaringen en ideeën vanuit gebruikers worden meegewogen. Om dit draagvlak voor de toepassing van het Programma van Eisen te kunnen realiseren is een PKIoverheid stelseloverleg ingesteld die wordt geconsulteerd bij de besluitvorming over wijzigingsvoorstellen op het Programma van Eisen. Daarnaast komen in dit overleg ook onderwerpen aan de orde die in het algemeen relevant zijn voor de PKI –ontwikkelingen.

De volledige procedures voor het wijzigingenbeheer van het Programma van Eisen van PKIoverheid zijn opgenomen in Annex B.

2 Publicatie en verantwoordelijkheid voor elektronische opslagplaats

2.1 Elektronische Opslagplaats

De PA publiceert het stamcertificaat, de domeincertificaten en de CSP-certificaten op haar website. Op de website is tevens informatie beschikbaar met betrekking tot het gebruik van het stamcertificaat, de domeincertificaten en de CSP-certificaten.

Een toegelaten CSP publiceert de CSP-certificaten uitgegeven door de PA op de eigen website. Daarbij is tevens een verwijzing opgenomen naar het stamcertificaat en de domeincertificaten op de website van de PA.

Op de websites van de verschillende CSP's zijn de CRL's ten behoeve van de eindgebruiker certificaten te vinden

2.2 Publicatie certificaat informatie

De volgende certificaten worden gepubliceerd:

Staat der Nederlanden Root CA;

Staat der Nederlanden Burger CA;

Staat der Nederlanden Overheid CA;

Staat der Nederlanden Root CAG2;

Staat der Nederlanden Burger CAG2;

Staat der Nederlanden Organisatie CAG2;

Staat der Nederlanden Autonome Apparaten CA - G2;

Staat der Nederlanden Root CAG3;

Staat der Nederlanden Burger CAG3;

Staat der Nederlanden Organisatie Services CAG3;

Staat der Nederlanden Organisatie Persoon CAG3;

Staat der Nederlanden Autonome Apparaten CAG3;

<Naam CSP> CA;

<Naam CSP> CAG2;

<Naam CSP> CAG3.

Dit CPS is te vinden op de volgende url:

https://www.logius.nl/producten/toegang/pkioverheid/documentatie/cps/

De volgende CRL's worden gepubliceerd. Deze zijn tevens te vinden op de website https://crl.pkioverheid.nl. Hieronder de directe linkjes naar de CRL’s:

Ten behoeve van het ingetrokken Staat der Nederlanden CA domein certificaten: http://crl.pkioverheid.nl/LatestCRL.crl http://crl.pkioverheid.nl/RootLatestCRL-G2.crl http://crl.pkioverheid.nl/RootLatestCRL-G3.crl

Ten behoeve van ingetrokken CSP CA certificaten:

http://crl.pkioverheid.nl/DomOvLatestCRL.crl http://crl.pkioverheid.nl/DomBuLatestCRL.crl http://crl.pkioverheid.nl/DomOrganisatieLatestCRL-G2.crl http://crl.pkioverheid.nl/DomBurgerLatestCRL-G2.crl http://crl.pkioverheid.nl/DomAutonomeApparatenLatestCRL-G2.crl

http://crl.pkioverheid.nl/DomOrganisatieServicesLatestCRL-G3.crl

http://crl.pkioverheid.nl/DomOrganisatiePersoonLatestCRL-G3.crl

http://crl.pkioverheid.nl/DomBurgerLatestCRL-G3.crl

http://crl.pkioverheid.nl/DomAutonomeApparatenLatestCRL-G3.crl

2.2.1 Officiële elektronische bekendmaking (geen RFC 3647)

De kenmerken van de stamcertificaten zijn gepubliceerd in de Staatscourant en opgenomen in Bijlage A

1. G1: gepubliceerd in de Staatscourant van vrijdag 11 april 2003 (nr. 72, blz. 9);

2. G2: gepubliceerd in de Staatscourant van 15 december 2008 (nr. 243, blz. 1);

3. G3: nog te publiceren in de Staatscourant.

2.2.2 Distributie Publieke Sleutel (geen RFC 3647)

De publieke sleutel van het stamcertificaat wordt onder meer gedistribueerd via de trusted root certificate programma's van verschillende software leveranciers. Op www.logius.nl/pkioverheid staat een actuele lijst van de softwareproducten die het PKIoverheid stamcertificaat bevatten.

Daarnaast wordt het stamcertificaat op www.logius.nl/pkioverheid op een betrouwbare wijze aangeboden.

2.3 Frequentie van publicatie

De PA publiceert de lijsten met ingetrokken certificaten, de Certificate Revocation Lists (CRL's). Er is een CRL met ingetrokken domeincertificaten. Deze CRL wordt jaarlijks opnieuw gepubliceerd. Ad hoc publicatie van deze CRL vindt plaats na intrekking van een domeincertificaat. Per domein is er een CRL met ingetrokken CSP-certificaten binnen dat domein. Een domein-CRL wordt elke drie maanden opnieuw gepubliceerd. Ad hoc publicatie van een domein-CRL vindt plaats na intrekking van een CSP-certificaat.

Elke CRL bevat het tijdstip van de volgende geplande CRL-uitgifte. Deze CRL's zijn te vinden op: https://crl.pkioverheid.nl.

Naast de publicatie van de CRL biedt de PA voor het domein Organisatie Services ook statusinformatie aan via het Online Certificate Status Protocol (OCSP). Hiertoe zijn de volgende twee OCSP responders ingericht.

1. http://RootOCSP-G3.ocsp.pkioverheid.nl levert statusinformatie over het Organisatie Services domein certificaat;

2. http://DomOrganisatieServicesOCSP-G3.ocsp.pkioverheid.nl levert statusinformatie over de CSP certificaten in het domein Organisaties Services.

Ondersteuning met het OCSP vindt plaats in overeenstemming met RFC2560[5].

2.4 Toegang tot publicatie

Gepubliceerde informatie is publiek van aard en vrij toegankelijk. De Elektronische Opslagplaats kan vierentwintig uur per dag en zeven dagen per week worden geraadpleegd. De Elektronische Opslagplaats is beschermd tegen het aanbrengen van ongeautoriseerde wijzigingen.

Voor het geval van het optreden van systeemdefecten of andere factoren die de beschikbaarheid van de Elektronische Opslagplaats negatief beïnvloeden is er een passende set van continuïteitsmaatregelen gerealiseerd om ervoor te zorgen dat de CRL binnen 4 uur en de overige onderdelen van de Elektronische Opslagplaats binnen 24 uur weer bereikbaar zijn. Een voorbeeld van een dergelijke maatregel is het hebben gerealiseerd van een uitwijk-locatie en scenario. Daarnaast ondergaat de Elektronische Opslagplaats jaarlijks een penetratietest. Deze wordt uitgevoerd door een extern IT security bedrijf.

3 Identificatie en authenticatie

3.1 Naamgeving

3.1.1 Soorten naamformaten

Alle certificaten die door de PA van PKIOverheid worden uitgegeven, bezitten een ‘subject’-veld (DistinguishedName) waarin de benaming van de houder is opgenomen. De in de certificaten gebruikte namen voldoen aan de X.501 naam standaard. De namen bestaan uit de volgende onderdelen:

Attribuut

Staat der Nederlanden Root CA

Staat der Nederlanden <domein> CA

<CSP naam> CA

Country (C)

NL

NL

NL

Organization (O)

Staat der Nederlanden

Staat der Nederlanden

<CSP Organisatienaam>

CommonName (CN)

Staat der Nederlanden Root CA

Staat der Nederlanden <domein> CA

<CSP naam>

Figuur 3 - Staat der Nederlanden naamgeving

Attribuut

Staat der Nederlanden Root CAG2

Staat der Nederlanden <Domein> CAG2

<CSP naam> CAG2

Country (C)

NL

NL

NL

Organization (O)

Staat der Nederlanden

Staat der Nederlanden

<CSP Organisatienaam>

CommonName (CN)

Staat der Nederlanden Root CA

Staat der Nederlanden <domein> CAG2

<CSP naam> <domein> CAG2

Figuur 4 - Staat der Nederlanden G2 naamgeving

Attribuut

Staat der Nederlanden Root CAG3

Staat der Nederlanden <Domein> CAG3

<CSP naam> <domein> CAG3

Country (C)

NL

NL

NL

Organization (O)

Staat der Nederlanden

Staat der Nederlanden

<CSP Organisatienaam>

CommonName (CN)

Staat der Nederlanden Root CAG3

Staat der Nederlanden <domein> CAG3

<CSP naam> <domein> CAG3

Figuur 5 - Staat der Nederlanden G3 naamgeving

Zie verder Bijlage C voor de volledige certificaatprofielen van de Staat der Nederlanden Root CA en Staat der Nederlanden <domein> CA.

Voor overige bepalingen omtrent de wijze waarop identificatie en authenticatie plaatsvindt binnen PKIoverheid wordt hierbij verwezen naar de betreffende diverse Certification Practice Statements van de PKIoverheid certificatiedienstverleners.

3.1.2 Noodzaak gebruik betekenisvolle namen

Er zijn geen nadere bepalingen op dit gebied voor de certificaatdienstverlening door de PA.

3.1.3 Pseudoniemen

Het gebruik van pseudoniemen of anonieme certificaten wordt niet toegestaan.

3.1.4 Regels voor het interpreteren van verschillende naamvormen

De naam van de CSP CA wordt overgenomen van het uittreksel uit het Nederlands Handelsregister.

3.1.5 Uniciteit van namen

Alle certificaten die onder dit CPS worden uitgegeven, bezitten een uniek subjectveld (DistinguishedName).

3.1.6 Erkenning, authenticatie en de rol van handelsmerken

De PA gaat uit van de correctheid van de naamgeving van organisaties zoals opgenomen in het Nederlands Handelsregister van de Kamer van Koophandel.

3.2 Initiële identiteitsvalidatie

3.2.1 Initieel Registratieproces

Zie voor de eisen die worden gesteld aan een initieel registratieproces het Programma van Eisen, deel 2 van PKIoverheid.

3.2.2 Authenticatie van organisatorische entiteit

Op basis van het aanvraagformulier en de aangeleverde bewijsmiddelen verifieert de PA,

· dat de CSP een bestaande organisatie is die is opgenomen in het NHR of een organisatorische entiteit behorend bij een bestaande organisatie die is opgenomen in het NHR. In het geval van een overheidsorganisatie die niet is ingeschreven in het NHR zal de Staatsalmanak worden geraadpleegd;

· dat de door de CSP aangemelde organisatienaam en landnaam die in het certificaat wordt opgenomen juist en volledig is en dat de aanvrager bevoegd is de organisatie te vertegenwoordigen;

· de aanwezigheid van de relevante registratie-informatie van de aspirant CSP met het daarbij behorende bewijsmateriaal (uittreksel KvK etc.). Er moet sprake zijn van een origineel uittreksel dat niet ouder mag zijn dan 13 maanden.

Nota bene: Indien de toetredende partij minder dan drie jaar bestaat en niet voorkomt in de meest recente versie van genoemde registratiebronnen kan de identiteit en validiteit van de aspirant CSP eventueel worden vastgesteld aan de hand van een moedermaatschappij of kerndepartement, die wel geregistreerd zijn in de KVK of de Staatsalmanak.

3.2.3 Authenticatie van persoonlijke identiteit

Bij initiële toetreding tot het PKIoverheid stelsel verifieert de PA de opgegeven persoonsgegevens van de bevoegd vertegenwoordiger van de CSP aan de hand van een in art. 1 van de Wet op de Identificatieplicht genoemd identiteitsdocument:

· een geldig reisdocument als bedoeld in de Paspoortwet;

· de documenten waarover een vreemdeling ingevolge de Vreemdelingenwet 2000 moet beschikken ter vaststelling van zijn identiteit, nationaliteit en verblijfsrechtelijke positie;

· een geldig nationaal, diplomatiek of dienstpaspoort dat is afgegeven door het daartoe bevoegde gezag in een andere staat.

3.3 Identificatie en authenticatie bij vernieuwing van een certificaat

Dikwijls zal een CSP al toegetreden zijn tot het PKIoverheid stelsel wanneer een nieuwe CSP CA aangemaakt dient te worden onder een nieuwe generatie van de reguliere root. Ook is het mogelijk dat een reeds toegetreden CSP certificaten wil uitgeven onder een nieuw domein of een andere root. In dat geval kan een verkorte procedure gehanteerd worden voor de identificatievalidatie omdat de CSP CA reeds bekend is bij de PA en is toegetreden tot het PKIoverheid stelsel.

Het is dan voldoende als de PA controleert of de organisatienaam en naam van het land opgegeven in het Naming document / CSR nog steeds correct is. Dit kan op de volgende manieren worden gecontroleerd:

1. Door het online raadplegen van het NHR om te controleren of de CSP CA een bestaande organisatie is;

2. Door het online raadplegen van een database zoals Dunn & Bradstreet die up-to-date wordt gehouden en wordt beschouwd als een betrouwbare bron; of

Daarnaast dient de PA te controleren dat de aanvraag daadwerkelijk van de CSP CA afkomstig is. Een aanvraag kan op twee manieren worden ingediend:

1. De bevoegd vertegenwoordiger kan een aanvraagformulier versturen via e-mail en ondertekenen met een PKIoverheid certificaat;

2. De bevoegd vertegenwoordiger kan een aanvraagformulier ondertekenen en per post te versturen.

In het tweede geval dient tevens contact te worden opgenomen met de bij de PA PKIoverheid geregistreerde bevoegd vertegenwoordiger van de CSP CA om de aanvraag te verifieren. Ter controle kunnen identificerende gegevens van de contactpersoon of organisatie worden opgevraagd.

Deze identificatiecontrole door de PA wordt vastgelegd en gearchiveerd in het dossier van de CSP CA.

3.4 Identificatie en authenticatie bij intrekking van een certificaat

Een verzoek tot intrekking van een certificaat kan worden ingediend door de CSP CA. Bij een verzoek tot intrekking zal altijd een opgave van redenen moeten worden gegeven. In overleg met betrokken partijen zal worden gekeken in hoeverre aan het verzoek voldaan zou kunnen worden aangezien intrekking van een CSP CA betekent dat onderliggende certificaat niet meer geldig zullen zijn.

Identificatie en authenticatie van de indiener van het verzoek tot intrekking van de CSP CA kan op één van onderstaande wijzen geschieden:

· Een verzoek per e-mail aan de PA, waarbij het verzoek digitaal wordt ondertekend met een gekwalificeerde elektronische handtekening;

· Een verzoek per ondertekende brief;

· Een verzoek per e-mail.

In alle drie de gevallen zal de PA telefonisch contact opnemen met de bevoegd vertegenwoordiger van de CSP CA om vast te stellen dat de aanvraag tot intrekking authenthiek is. Ter controle kunnen identificerende gegevens van de contactpersoon of organisatie worden opgevraagd.

4 Operationele eisen certificaatcyclus

4.1 Toepassingsgebied

Binnen de PKI voor de overheid zijn op vier niveaus verschillende typen certificaten gedefinieerd, te weten:

· Stamcertificaat;

· Domeincertificaat;

· CSP certificaat;

· Eindgebruikercertificaat.

Het stamcertificaat, de domeincertificaten en de CSP-certificaten kunnen uitsluitend worden gebruikt voor het verifiëren van de handtekening van de uitgever en worden uitgegeven door de Policy Authority. Het is niet toegestaan deze certificaten voor andere doeleinden te gebruiken. Het eindgebruikercertificaat wordt uitgegeven door de CSP's.

Dit CPS heeft betrekking op de betrouwbaarheid van de dienstverlening van de Policy Authority, derhalve worden in deze paragraaf enkel de procedures met betrekking tot stam-, domein- en CSP certificaten behandeld.

4.2 Aanvraag van certificaten

Het stamcertificaat, de domeincertificaten en CSP-certificaten worden in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aangemaakt door de Policy Authority.

Opdracht tot het maken van CSP CA certificaten vindt plaats naar aanleiding van een aanvraag hiertoe door een CSP. Zie voor meer informatie PKIoverheid PvE deel 2.

4.2.1 Werkwijze met betrekking tot creatie van certificaten

Het creëren van het stamcertificaat, de domeincertificaten en CSP-certificaten vindt plaats tijdens speciale creatieceremonies. Een gecertificeerde externe IT-auditor fungeert als getuige tijdens de creatieceremonies van de Staat der Nederlanden Root CA en de Staat der Nederlanden <Domein> CA. Tevens is een gecertificeerde externe IT-auditor als getuige aanwezig bij creatie van de CSP CA’s. Voor iedere creatieceremonie wordt een gedetailleerd draaiboek opgesteld waarin alle uit te voeren handelingen zijn vermeld. Dit draaiboek is met name bedoeld om invoerfouten tijdens de ceremonie te voorkomen. Een creatieceremonie wordt uitgevoerd conform het draaiboek in aanwezigheid van onafhankelijke getuigen. De identiteit van de aanwezige personen wordt gecontroleerd aan de hand van bij artikel 1 van de Wet op de identificatieplicht aangewezen geldige documenten.

De creatieceremonies verlopen voor alle genoemde typen certificaten op vergelijkbare wijze. Hierbij is de certificaathouder de PA of de CSP. Tijdens de ceremonie vinden onder meer de volgende stappen plaats:

1. opbouwen van het computersysteem;

2. installeren en configureren van de PKI-software;

3. activeren van de Hardware Security Module (HSM), waarbij meerdere sleutelhouders elk een deel van de activeringsgegevens inbrengen;

4. genereren van de sleutelparen;

5. genereren van certificaten voor elk sleutelpaar;

6. ontmantelen van het computersysteem en

7. veiligstellen van het computersysteem en de kritieke componenten.

4.3 Uitgifte van certificaten

De eisen waaraan een CSP dient te voldoen bij de uitgifte van de certificaten zijn geformuleerd in deel 3 (Certificate Policies) van het Programma van Eisen. De wijze waarop een CSP uitvoering geeft aan deze eisen dient door de CSP zelf beschreven te worden in een Certification Practice Statement (CPS). De beschrijving van de dienstverlening door CSP's valt derhalve buiten het bestek van dit CPS.

Voor het uitgeven van certificaten door de PA is geen separaat CP opgesteld, aangezien de PA geen eindgebruikercertificaten uitgeeft. De maatregelen die de PA heeft getroffen om de betrouwbaarheid van de door de PA uit te geven certificaten te waarborgen zijn in dit CPS beschreven.

4.4 Acceptatie van certificaten

Het draaiboek behorende bij de creatieceremonies bevat tevens de procedure voor het vaststellen van de juistheid en het accepteren van de gecreëerde certificaten. Daarnaast zijn in het draaiboek ook de namen van de betrokken functionarissen vermeld. De PA stelt de juistheid van de certificaten vast. De CSP accepteert vervolgens de CSP-certificaten.

4.5 Sleutelpaar en certificaatgebruik

Het Staat der Nederlanden Root CA, de Staat der Nederlanden <Domein> CA’s en de CSP CA’s certificaten worden primair gebruikt voor het verifiëren van de handtekening van de uitgever en worden uitgegeven door de PA. Daarnaast worden deze certificaten gebruikt voor CRL signing. Het is niet toegestaan deze certificaten voor andere doeleinden te gebruiken. Het eindgebruiker certificaat wordt uitgegeven door de CSP's.

4.6 Vernieuwen van certificaten

Certificaten dienen te worden vernieuwd wanneer (een deel van) de informatie die aan het certificaat ten grondslag ligt is veranderd of verouderd. Hierbij valt te denken aan het wijzigen van de naam van een CSP die in het certificaat is vermeld of het verminderen van de sterkte van een cryptografisch algoritme.

Certificate Renewal waarbij het bestaande sleutelpaar wordt gehandhaafd en de geldigheidsduur van het certificaat wordt verlengd wordt niet toegepast binnen PKIoverheid.

Het tijdstip van (routinematige) vernieuwing van certificaten is gerelateerd aan de levenscyclus van certificaten en signing keys. Voor de vertrouwende partij zal het gedurende de levensduur van een eindgebruikercertificaat mogelijk moeten zijn ook de geldigheid van het certificaat te verifiëren. Bij verificatie van een eindgebruikercertificaat wordt ook de geldigheid van de bovenliggende certificaten van uitgevende instanties gecontroleerd. Het CSP-certificaat, het domeincertificaat en het stamcertificaat dienen derhalve geldig te zijn zolang de geldigheidsduur van een eindgebruikercertificaat nog niet verstreken is.

Na vijf jaar zal de PA nieuwe signing keys (voor stam en domeinen) genereren en nieuwe certificaten (stamcertificaat en domeincertificaten) uitgeven. De nieuwe signing keys vervangen de voorgaande versies; de oorspronkelijke certificaten blijven bestaan naast de nieuwe certificaten. De oorspronkelijke certificaten kunnen gebruikt worden voor verificatie van certificaten die onder de oorspronkelijke stam zijn uitgegeven.

De signing keys van een CSP moeten vernieuwd zijn op het tijdstip waarop de levensduur van een bovenliggend certificaat (CSP-certificaat, domeincertificaat dan wel stamcertificaat) verloopt minus de geldigheidsduur van het eindgebruikercertificaat. Een CSP dient, rekening houdend met deze vereiste verificatieperiode, nieuwe signing keys aan te (laten) maken en tevens een verzoek in te dienen bij de PA om het nieuwe CSP-certificaat aan te laten maken.

Dit verzoek is de eerste stap van de interne procedure CSP-certificaat- vernieuwing. Op hoofdlijnen bestaat deze procedure verder uit de volgende stappen:

· Indienen van een aanvraagformulier tot vernieuwing van een CSP CA onder de nieuwe root door de bevoegd vertegenwoordiger van de CSP;

· Controleren van de geldigheid van de aanvraag door de PA;

· Validatie van de gegevens in het aanvraagformulier;

· Indienen van het Naming Document voor het nieuwe CSP CA certificaat door de CSP;

· Controleren van het Naming Document door de PA;

· Indienen Certificate Signing Request (CSR) door CSP t.b.v. Test CSP CA;

· Creëren Test CSP CA certificaat door technisch beheerder van de root;

· Controleren Test CSP CA certificaat door de PA en CSP;

· Indienen Certificate Signing Request (CSR) door CSP t.b.v. Productie CSP CA;

· Opdracht van de PA aan de technisch beheerder van de root voor creatie nieuwe CSP CA certificaat;

· Uitvoering creatie ceremonie van nieuwe CSP CA certificaat door de technisch beheerder van de root;

· Controle PA van nieuwe CSP CA certificaat;

· Overhandiging PA van nieuwe CSP CA certificaat aan de CSP;

· Decharge PA aan de technisch beheerder van de root.

Het aanvragen, de uitgifte, de acceptatie en de publicatie van het nieuwe CSP-certificaat volgen dezelfde stappen als bij de oorspronkelijke toetreding van een CSP, zie 4.2 t/m 4.5. De nieuwe signing keys vervangen de voorgaande versies[6]; het oorspronkelijke CSP-certificaat blijft bestaan naast het nieuwe certificaat. De oorspronkelijke certificaten kunnen gebruikt worden voor verificatie van certificaten die onder het oorspronkelijke CSP-certificaat zijn uitgegeven.

4.7 Rekey van certificaten

Certificate Rekey waarbij de bestaande publieke sleutel in een certificaat wordt gewijzigd, wordt binnen de centrale hiërarchie van de Private Root niet toegepast.

4.8 Aanpassing van certificaten

Certifate Modification wordt alleen in uitzonderlijke gevallen toegepast. Normaliter zal de voorkeur worden gegeven aan het opnieuw uitgeven van een certificaat wanneer de inhoud van het certificaat (publieke sleutel) niet meer correct is.

4.9 Intrekking en opschorting van certificaten

Intrekking van het stamcertificaat, een domeincertificaat of een CSP-certificaat zal in ieder geval worden overwogen als de signing key behorende bij het certificaat is gecompromitteerd of daarvan wordt verdacht. Van compromittatie is onder meer sprake als ongeautoriseerd toegang is verkregen tot deze signing key of wanneer dragers hiervan zijn gestolen of verloren gegaan. Om dit te bewerkstelligen houdt de PA een registratie bij van de meldingen die kunnen leiden tot intrekking van het stamcertificaat, een domeincertificaat of een CSP-certificaat. Alle meldingen worden door de PA geregistreerd en in behandeling genomen. De Wet bescherming persoonsgegevens is van toepassing en wordt in acht genomen.

De PA merkt compromittatie van de signing key aan als een calamiteit. Doet zich een calamiteit voor, dan treedt het calamiteitenplan in werking en worden alle relevante partijen onmiddellijk op de hoogte gesteld. In paragraaf 5.7 van dit CPS wordt het calamiteitenplan behandeld.

Voorafgaand aan het intrekken van een stamcertificaat, een domeincertificaat of een CSP-certificaat en de bij dat certificaat behorende sleutels wordt een zorgvuldig beoordelingsproces doorlopen. Het calamiteitenteam zal deze beoordeling uitvoeren en zal eventuele hieruit voortvloeiende activiteiten (laten) initiëren.

Indien een CSP niet langer voldoet aan de voorwaarden voor deelname aan de PKI voor de overheid, dan kan de PA overgaan tot het intrekken van het betreffende CSP-certificaat. De intrekking van een certificaat kan binnen één dag worden geëffectueerd. De PA informeert de CSP vooraf over het intrekken van het certificaat.

In geval van het intrekken van het stamcertificaat informeert de PA de CSP's waarmee samenwerking is overeengekomen. Van het intrekken van het stamcertificaat wordt mededeling gedaan in de Staatscourant en via andere media waar het stamcertificaat formeel is of zal worden gepubliceerd.

In geval van het intrekken van een domeincertificaat informeert de PA de onderliggende CSP's.

Het besluit het stamcertificaat of een domeincertificaat in te trekken zal gepaard gaan met een uitspraak over het al dan niet uitgeven van een nieuw certificaat ter vervanging van het ingetrokken certificaat.

Het intrekken van een domeincertificaat of een CSP-certificaat leidt altijd tot ad hoc publicatie van de betreffende gewijzigde CRL. Het intrekken van certificaten en het uitgeven van CRL's geschiedt conform een vooraf opgesteld draaiboek Maximaal 24 uur na intrekking van domein of CSP CA zal de nieuwe CRL worden gepubliceerd.

Opschorting van certificaten wordt binnen de PKI voor de overheid niet ondersteund.

4.10 Certificaat statusservice

4.10.1 Operationele eigenschappen van de certificaat statusservice

De geldigheid van certificaten is raadpleegbaar middels de gepubliceerde CRL die verkrijgbaar is via de elektronische opslagplaats (zie 2.1). De PA hanteert voor de CRL’s het X.509 versie 2 formaat.

Naast de publicatie van de CRL voert de PA een Online Certificate Status Protocol (OCSP) dienst voor het G3 stamcertificaat en het G3 domein organisatie services. De OCSP service wordt standaard elke 12 uur bijgewerkt. Een OCSP response van deze dienst heeft een geldigheid van maximal 7 dagen. In het geval van de intrekking van een EV CSP CA certificaat wordt de OCSP dienst ad hoc bijgewerkt. De OCSP dienst ondersteunt de GET methode voor het opvragen van een response.

De CSP zal met betrekking tot zijn CRL en OCSP dienstverlening passende server capaciteit aanhouden waarmee een response tijd wordt gegarandeerd van 10 seconden of minder onder normale omstandigheden.

De status van ingetrokken certificaten blijft gedurende de levensduur van de bovenliggende CA beschikbaar op de CRL en via OCSP.

4.10.2 Beschikbaarheid certificaat statusservice

De CRL en OCSP zijn 24 uur per dag en 7 dagen per week beschikbaar.

De maximale tijdsduur, waarbinnen de beschikbaarheid van de revocation status information (de status van een ingetrokken certificaat) moet worden hersteld, is gesteld op vier uur.

4.10.3 Optionele kenmerken van de certificaat statusservice

Geen nadere bepalingen voor de certificaatdienstverlening van CSP.

4.11 Beëindiging

Indien Logius besluit de dienst PKIoverheid te beëindigen, dan zullen de volgende stappen worden gevolgd:

1. Alle betrokken partijen (abonnees, cross certifying CA's, hoger gelegen CA's en vertrouwenspartijen) van de dienst PKIoverheid, zullen een half jaar voor het beëindigen van de dienst worden geïnformeerd.

2. Alle certificaten die zijn uitgeven na bekendmaking van het beëindigen van de dienst, zullen in het certificaat een einddatum bevatten gelijk aan de geplande einddatum van PKIoverheid.

3. Bij het beëindigen van de dienst zullen alle nog geldige certificaten worden ingetrokken.

4. PKIoverheid stopt op de einddatum met het distribueren van certificaten en CRL's.

4.11.1 Overdracht PKIoverheid

Indien Logius besluit de dienst PKIoverheid over te dragen aan een andere organisatie, dan zullen alle betrokken partijen (abonnees, cross certifying CA's, hoger gelegen CA's en vertrouwenspartijen) van de dienst PKIoverheid minimaal 3 maanden van tevoren worden geïnformeerd over de overdracht. De nieuwe organisatie zal de bepalingen uit deze CPS in haar eigen CPS overnemen.

4.12 Key escrow en key recovery

De PA PKIoverheid heeft de stam-en domeincertificaten gekloond en deze backup wordt bewaard op de uitwijklocatie van PKIoverheid.

4.13 Registratie van certificaathouders (geen RFC 3647)

De PA geeft in tegenstelling tot de CSP geen certificaten uit aan natuurlijke personen. Een registratie met persoonsgegevens van certificaathouders is derhalve niet aanwezig.

5 Fysieke, procedurele en personele beveiliging

In dit CPS zijn de door de PA getroffen beveiligingsmaatregelen op hoofdlijnen beschreven.

De PA heeft beheersmaatregelen geïmplementeerd om verlies, diefstal, beschadiging of compromittatie van infrastructurele middelen en onderbreking van de activiteiten te voorkomen. Daarbij is onder meer voorzien in fysieke toegangscontrole. De fysieke inrichting kent verschillende lagen die aparte toegangscontrole vereisen met steeds een hoger niveau van beveiliging. Daarnaast is een reeks van maatregelen getroffen ter bescherming tegen brand, natuurrampen, uitval van ondersteunende faciliteiten (zoals elektriciteit en telecommunicatie-voorzieningen), instortingsgevaar, lekkages, et cetera.

5.1 Fysieke beveiliging

De beveiligde omgeving van de root van de PKI voor de overheid is ingericht op basis van eisen die geformuleerd zijn in het Programma van Eisen en de eisen uit het Voorschrift Informatiebeveiliging Rijksdienst voor Bijzondere Informatie (VIR-BI) en de normen uit Nivra geschrift 34.

5.2 Procedurele beveiliging

Voor afhandeling van incidenten en calamiteiten zijn specifieke processen en procedures geïmplementeerd.

De Policy Authority voert jaarlijks een stelselbrede risico-analyse uit en beschrijft de beheersmaatregelen die zijn genomen om risico’s binnen het stelsel te verkleinen.

Daarnaast wordt jaarlijks een risico-analyse uitgevoerd voor het technisch beheer van de centrale hiërarchie van PKIoverheid.

De computersystemen voor productie worden niet voor andere doeleinden gebruikt. Er zijn aparte systemen ingericht, uitsluitend bedoeld voor het testen of accepteren van nieuwe of gewijzigde software. Behalve deze hardwarematige scheiding zijn er procedures van kracht die ervoor zorgen dat alle medewerkers het principe van een strikte scheiding tussen de acceptatie- en de productieomgeving respecteren.

De verantwoordelijkheden bij de PA zijn verdeeld over verschillende functies en personen. De software controleert de functiescheiding en dwingt deze af. In algemene zin is ervoor gezorgd dat de uitvoering van beveiligingstaken en van toezicht en controle onafhankelijk plaatsvinden van de uitvoering van productiewerkzaamheden. Meer PKI-specifieke maatregelen zijn getroffen rondom het maken van het sleutelmateriaal en certificaten. De PA kan slechts sleutelmateriaal en certificaten genereren in gelijktijdige aanwezigheid van verschillende sleutelhouders. Elke sleutelhouder heeft toegang tot slechts een deel van de activeringsgegevens die nodig zijn om de signing key te kunnen gebruiken. Ook bij het maken en publiceren van CRL's is dit zogenaamde N out of M principe toegepast[7]. Andere randvoorwaarden zijn:

· DE CA systemen zijn stand-alone systemen zonder netwerkkoppelingen naar buiten;

· Tijdens operationeel gebruik staan de CA systemen in een beveiligde ruimte die alleen door daartoe bevoegde personen betreden kan worden;

· Na gebruik wordt het CA systeem met alle randapparatuur en sleuteldelen opgeborgen in een kluis die in bovenliggende beveiligde ruimte is geplaatst;

· De CA systemen worden door een keymanager bediend, waarbij er strikt volgens de scripts wordt gewerkt en onder constant toezicht van een getuige. Afhankelijk van de ceremonie is dit een onafhankelijke externe getuige of een vertegenwoordiger van de PA. Eventuele afwijkingen van het script worden zorgvuldig opgetekend;

· De complete ceremonie wordt van het begin (ophalen CA systemen en sleuteldelen) tot het eind (inpakken CA systemen en sleuteldelen) opgenomen en opgeslagen. De opnames worden bewaard;

· Tijdens de ceremonie zijn de sleuteldelen in het bezit van de betreffende sleutelhouders. De verdeling van de sleuteldelen over de sleuteldragers is zodanig dat het uitvoeren van een bepaalde activiteit niet kan worden uitgevoerd door de technisch beheerder zonder aanwezigheid van minimaal 2 ambtenaren. Het M out of N principe zorgt ervoor dat er meerdere sleuteldelen en sleuteldragers noodzakelijk zijn.

· Een verzoek tot certificering wordt door de PA aan de technisch beheerder overhandigd.

5.3 Personele beveiliging

De PA ziet erop toe dat de medewerkers in vertrouwensfuncties vrij zijn van tegengestelde belangen, zodat de onpartijdigheid van de activiteiten van de PA is gewaarborgd. Indien dit noodzakelijk wordt geacht worden bij de PA alleen personen aangenomen op vertrouwensfuncties wanneer op basis van een veiligheidsonderzoek uitgevoerd door de Algemene Inlichtingen en Veiligheidsdienst (AIVD) een verklaring van geen bezwaar is afgegeven.

Door de PA is personeel aangenomen dat beschikt over de voor de betreffende functies vereiste vakkennis, ervaring en kwalificaties.

5.4 Audit logging procedures ten behoeve van beveiligingsaudits

De PA houdt voor audit-doeleinden afschriften van computerloggings bij met de mutaties in de systemen die onderdeel uitmaken van de technische infrastructuur van de top van de hiërarchie en die voor de betrouwbaarheid van de dienstverlening van belang zijn. Voorbeelden hiervan zijn het aanmaken van accounts, installatie van software, back-ups, het afsluiten en (her)starten van het systeem, hardware wijzigingen en veiligstelling van audit-logbestanden.

Alle activiteiten van de PA met betrekking tot het genereren van sleutels en maken van certificaten en CRL's worden gelogd op zodanige wijze dat reconstructie van de systeemhandelingen achteraf mogelijk is.

Tijdens een CSP ceremonie wordt bij het opstarten van de informatiesystemen gecontroleerd of hierin (ongeautoriseerde) wijzigingen zijn aangebracht.

Na elke ceremonie wordt een volledige back-up gemaakt van systeem en database. De back-ups worden voor een periode van minimaal 7 jaren opgeslagen. Dit geldt alleen voor de laatste twee images van het systeem.

5.5 Archiveren van documenten

De PA archiveert relevante documenten met betrekking tot certificaten die door de PA zijn uitgegeven voor een periode van tenminste dertig jaar. Hiertoe behoren zowel de documenten met betrekking tot de uitgevoerde procedures bij creatie en intrekking van de certificaten als de documenten/bestanden benodigd om de geldigheid van stamcertificaat, domeincertificaten of CSP-certificaten op een bepaald moment te kunnen achterhalen. De gearchiveerde documenten worden door de PA bewaard op een beveiligde wijze.

De publieke sleutels van het stamcertificaat, de domeincertificaten en de CRL-certificaten worden gearchiveerd als onderdeel van de bijbehorende certificaten.

De PA zal, nadat de geldigheid van het CSP certificaat is verlopen, voor tenminste 7 jaren alle informatie opslaan met betrekking tot de aanvraag en eventuele revocatie van het CSP certificaat en alle gegevens die zijn gebruikt voor het verifiëren van de identiteit van de CSP, Bevoegde Vertegenwoordiger en certificaatbeheerder.

5.6 Vernieuwen sleutels

Sleutels van certificaathouders mogen niet opnieuw worden gebruikt na het verstrijken van de geldigheidsduur of na het intrekken van het bijbehorende certificaat. Met het vernieuwen van certificaten wordt ook het sleutelpaar vernieuwd.

5.7 Compromittatie en continuïteit

De PA treft voorzieningen om de continuïteit van de eigen dienstverlening zodanig te waarborgen, dat mogelijke verstoringen minimaal blijven. Hiertoe behoort het in stand houden van kritieke diensten, waaronder het aanbieden van de revocation management service, de revocation status service en het via de gebruikelijke kanalen beschikbaar stellen van certificate status information.

De voorzieningen die de PA heeft getroffen betreffen o.a. het dubbel uitvoeren van systemen, installeren van Intrusion Detection Systemen en uitvoeren van back-ups.

Om te kunnen anticiperen op eventuele calamiteiten die zich kunnen voordoen binnen de PKI voor de overheid heeft de PA een calamiteitenplan opgesteld. In dit plan zijn de maatregelen beschreven om een calamiteit zo spoedig mogelijk op te lossen. Het calamiteitenplan voorziet derhalve in het onmiddellijk bijeenroepen van een calamiteitenteam met bepaalde bevoegdheden en middelen, teneinde passend te handelen.

Binnen de PKI voor de overheid zijn meerdere partijen actief (Ministerie van BZK, PA, CSP's en de technisch beheerder van de root). Bij ieder van deze partijen kan een calamiteit optreden, die mogelijke gevolgen kan hebben voor de andere delen binnen de PKIoverheid-keten. Om op een gecoördineerde wijze te kunnen optreden bij een calamiteit zijn de calamiteitenplannen van de verschillende partijen op elkaar afgestemd.

Om goed voorbereid te zijn op eventuele calamiteiten en om de gevolgen van een calamiteit te beperken wordt het calamiteitenplan van de PA periodiek getest, ten minste eenmaal per jaar. De afstemming en communicatie met betrokken partijen uit de PKIoverheid-keten wordt hierbij ook getest.

6 Technische beveiliging

6.1 Genereren en installeren van sleutelparen

Het genereren van de sleutelparen van de PA vindt plaats tijdens de verschillende creatieceremonies. Daarbij worden slechts stand-alone computersystemen gebruikt. Deze computersystemen hebben geen verbinding met een netwerk, alle communicatie tussen systemen vindt plaats via media als CD-ROM, floppydisk of smartcard. Omdat het genereren en het gebruik van de signing key van de PA incidenteel plaatsvindt, zijn de computersystemen uitsluitend voor dit doel in gebruik. De meeste tijd zijn de kritische componenten van de computersystemen opgeborgen in een kluis.

De G1 signing keys hebben de volgende sleutellengten:

Eindgebruiker certificaten 1024 bit RSA sleutels

(vanaf 01-01-2011, 2048 bit RSA)

CSP sub-CA certificaten 2048 bit RSA sleutels

CSP certificaten 2048 bit RSA sleutels

Domein certifcaten 2048 bit RSA sleutels

Stamcertificaat 2048 bit RSA sleutels

De signing keys van de G2 en hoger hebben de volgende sleutellengten:

Eindgebruiker certificaten 2048 bit RSA sleutels

CSP sub-CA certificaten 4096 bit RSA sleutels

CSP certificaten 4096 bit RSA sleutels

Domein certifcaten 4096 bit RSA sleutels

Stamcertificaat 4096 bit RSA sleutels

6.2 Private sleutel bescherming en beheersmaatregelen cryptografische modulen

De actieve signing keys van de PA bevinden zich altijd in de veilige behuizing van een cryptografische module (HSM) die voldoet aan:

1. de eisen zoals beschreven in de standaard FIPS PUB 140-2 niveau 3 of hoger, of de eisen zoals beschreven in de standaard CWA 14167-2, of;

2. een betrouwbaar systeem dat voldoet aan de standaard EAL 4+, ISO 15408 of gelijkwaardige beveiligingscriteria.

Alle handelingen met de signing keys van de PA vinden plaats volgens vooraf vastgestelde procedures. Vooraf zijn de personen aangewezen die bij deze handelingen aanwezig moeten zijn. Alleen als deze personen aanwezig zijn, kunnen de signing keys van de PA voor gebruik worden ontsloten.

De signing keys van de PA worden nimmer ter bewaring in handen gegeven van een derde partij.

Als de signing keys aan het einde van de levensduur buiten gebruik zijn gesteld, vindt uit veiligheidsoverwegingen geen archivering van deze signing keys plaats. De signing keys worden op adequate wijze vernietigd, zodat het onmogelijk is ze weer in gebruik te nemen.

Van alle signing keys is een back-up gemaakt. Deze back-ups zijn opgeslagen in een andere ruimte dan waar de operationele signing keys zijn opgeslagen. Op de back-ups zijn dezelfde beveiligingsmaatregelen van toepassing als op de operationele signing keys.

6.3 Andere aspecten van sleutelpaar management

Het G1 stamcertificaat en het bijbehorende sleutelpaar o.b.v. het SHA-1

algoritme hebben een geldigheidsduur van 13 jaar. Een G1

domeincertificaat en het bijbehorende sleutelpaar o.b.v. het SHA-1

algoritme heeft een geldigheidsduur van 12,5 jaar.

Voor de certificaten in G2 hiërarchie geldt de volgende geldigheidsduur:

Eindgebruiker certificaten gemiddeld 36 maanden

CSP sub-CA certificaten 12 jaar minus 3 dagen CSP certificaten 12 jaar minus 2 dagen

Staat der Nederlanden <Domein> CAG2 12 jaar minus 1 dag

Staat der Nederlanden Root CAG2 12 jaar

Vanaf de G3 hierarchie geldt de volgende geldigheidsduur:

Eindgebruiker certificaten gemiddeld 36 maanden

CSP sub-CA certificaten 15 jaar minus 3 dagen CSP certificaten 15 jaar minus 2 dagen

Staat der Nederlanden <Domein> CA –<Gen> 15 jaar minus 1 dag

Staat der Nederlanden Root CA –<Gen> 15 jaar

In de hiërarchieën van de G3 en hoger worden de private sleutels van de Staat der Nederlanden Root en Domein CA’s maximaal 6 jaar gebruikt om CSP certificaten uit te geven. De overige 9 jaar van de geldigheidsduur van de betreffende generatie kan de publieke sleutel worden gebruikt om de onderliggende certificaten te valideren.

Vijf jaar na het aanmaken van een hiërarchie wordt steeds de erop volgende generatie aangemaakt.

6.4 Activeringsgegevens

Activeringsgegevens voor de informatiesystemen zoals wachtwoorden en pincodes worden net als de sleuteldelen opgeslagen in aparte sealbags in de PKIoverheid kluis.

6.5 Beheersingsmaatregelen computersystemen

De computers van de PA die worden gebruikt om handelingen met een signing key van de PA uit te voeren zijn slechts toegankelijk voor geautoriseerde medewerkers. In de systemen zijn daarvoor softwarematige controles ingebouwd die zorg dragen voor de toegangscontrole. De software controleert de bevoegdheid van de medewerker voordat de betreffende handelingen op het computersysteem kunnen worden verricht. De op de computersystemen uitgevoerde handelingen worden gelogd op een zodanige wijze dat later kan worden vastgesteld welke medewerker de gelogde handelingen heeft uitgevoerd. De bijgehouden logs worden periodiek, ten minste eenmaal per jaar, gecontroleerd door de PA.

De hier bedoelde computersystemen van de PA zijn zodanig ingericht dat slechts de noodzakelijke handelingen kunnen worden uitgevoerd. Alle in dat opzicht overbodige componenten, zoals hulpprogramma's, zijn verwijderd. De computersystemen zijn stand-alone systemen, zodat bepalingen met betrekking tot netwerkbeveiliging niet van toepassing zijn. Slechts de aparte directory server voor het publiceren van de CRL en certificaten heeft een koppeling met een openbaar netwerk. Deze koppeling is voorzien van een extra beveiliging, in de vorm van een firewall.

Tevens zijn er maatregelen getroffen om ongewenste toegangspogingen tot de systemen tijdig te detecteren.

De PA ziet erop toe dat de cryptografische hard- en software die de PA gebruikt voor het tekenen van certificaten nooit ongemerkt kan worden gewijzigd. Dit toezicht wordt gedurende de gehele levensloop van de cryptografische hard- en software gehouden.

6.6 Beheersingsmaatregelen technische levenscyclus

De hard- en software die wordt gebruikt in de centrale hiërarchie t.b.v. het keymanagement zijn meegenomen in de evaluatie door het NBV op stg. confidentieel. Bij wijzigingen in de informatiesystemen wordt opnieuw een evaluatie uitgevoerd.

CA systemen worden na uitvoerig testen in gebruik genomen en onderhouden door de technisch beheerder. Software updates worden zorgvuldig doorgevoerd na overleg met en in het bijzijn van de PA PKIoverheid.

6.7 Netwerkbeveiliging

De Staat der Nederlanden Root CA is off-line. De Staat der Nederlanden <Domein> CA is ook off-line. De in dit CPS beschreven CRL’s staan on-line in de Directory Service. De technisch beheerder van de Staat der Nederlanden Root CA van Logius heeft maatregelen genomen om de stabiliteit, de betrouwbaarheid en de veiligheid van het netwerk te waarborgen. Dit omvat bijvoorbeeld maatregelen om gegevensverkeer te reguleren en ongewenst gegevensverkeer onmogelijk te maken, alsmede de plaatsing van firewalls om de integriteit en exclusiviteit van het netwerk te garanderen. Tevens zijn er maatregelen getroffen om ongewenste toegangspogingen tot de systemen tijdig te detecteren.

De Directory Service is onderdeel van de jaarlijkse ETSI EN 319 411-2 audit. Deze wordt uitgevoerd door een externe IT-auditor. Daarnaast ondergaat de Directory Service jaarlijks een penetratietest. Deze wordt uitgevoerd door een extern IT security bedrijf.

6.8 Tijdstempelen

De PA ondersteunt geen tijdstempeldienst als onderdeel van haar dienstverlening.

6.9 Cryptografische algoritmes (geen RFC 3647)

Binnen de PKI voor de overheid is, met het oog op de betrouwbaarheid van de PKI voor de overheid, een beperkt aantal cryptografische algoritmes toegestaan. De PA zal, gelet op de te verwachten ontwikkelingen, regelmatig nagaan of de gehanteerde standaarden nog voldoen volgens ETSI TS 102 176-1. Mocht een overstap naar een ander algoritme noodzakelijk zijn dan zal hierover vooraf ook advies worden gevraagd aan het Nationaal Bureau voor Verbindingsbeveiliging (NBV-AIVD). Op basis van de ETSI standaard is in de certificaatprofielen, die zijn opgenomen in deel 3 van het Programma van Eisen, aangegeven welke algoritmes zijn toegestaan.

7 Certificaat- en CRL profielen

7.1 Certificaatprofielen

In Bijlage C en D is in een overzicht de inhoud weergegeven van de velden van het G1 en G2 stamcertificaat en van de domeincertificaten. De inhoud van de velden van een certificaat kan met behulp van viewers worden getoond.

De PA hanteert voor de CRL ten behoeve van het G1, G2 en G3 domeincertificaten en de CSP-certificaten het X.509 versie 2 formaat voor CRL's.

7.2 CRL profielen

Een CRL bevat informatie over ingetrokken certificaten die binnen de huidige geldigheidsperiode vallen of waarvan de geldigheidsperiode minder dan 6 maanden geleden is verlopen.

De CRL's voldoen aan de X.509v2 standaard voor publieke sleutel certificaten en CRL's.

De CRL voor statuscontrole van de domein CA’s is een jaar geldig. De CRL voor statuscontrole van de CSP CA’s is een half jaar geldig.

Er is een overgangsperiode van twee weken voordat de CRL verloopt, waarbinnen een nieuwe CRL wordt gepubliceerd.

Attribuut

Versie

V2

Beschrijft de versie van het CRL profiel.

Waarde 1 staat voor X.509 versie 2 CRL profiel.

Verlener

CN = Staat der Nederlanden Root CA - [ev. versie]

O = Staat der Nederlanden

C = NL

Ingangsdatum

Ingangsdatum van de CRL

Volgende update

Uiterste tijdstip waarop een update verwacht mag worden, eerdere update is mogelijk.

Bevat datum en tijdstip waarop de volgende versie van de CRL (uiterlijk) verwacht mag worden.

Algoritme voor de handtekening

sha256

De waarde is gelijk aan het veld signatureAlgorithm en bevat het algoritme dat voor signing toegepast wordt.

Het signing algoritme is SHA-256WithRSAEncryption.

intrekkingslijst

Ingetrokken certificaten met datum van revocatie.

Bevat datum en tijdstip van revocatie en serialNumber van de ingetrokken certificaten.

CRL-nummer

Opeenvolgend nummer van publicatie van de CRL in hexadecimale

7.3 OCSP profielen

De root CA en de domein CA organisatie services maakt gebruik van OCSP en OCSP signing certificaten. OCSP signing certificaten zijn 14 maanden geldig en worden jaarlijks opnieuw getekend.

De OCSP responses en OCSPSigning certificates voldoen aan de eisen die hieraan worden gesteld in IETF RFC 2560. OCSPSigning certificaten zijn in overeenstemming met de X.509v3 norm voor publieke sleutel certificaten.

Basis Extensies

OID

Critical

Waarde

Certificate

N/a

SignatureAlgorithm

{ pkcs-1 5 }

N/a

Algorithm

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

SignatureValue

Handtekening door Staat der Nederlanden Root CA – G<nummer>

TBSCertificate

N/a

Version

2

serial number

SHA1 hash of public key door Staat der Nederlanden <Domein> CA – G<nummer> gegenereerd

Issuer DN

C=NL

O=Staat der Nederlanden

CN=Staat der Nederlanden Root CA – G<nummer>

Subject DN

C=NL

O=Staat der Nederlanden

CN=Staat der Nederlanden Root CA G<nummer> OCSP Responder n (n= 1, 2, 3)

Validity

notBefore

dd-mm-yyyy (Datum van de ceremonie)

notAfter

dd-mm-yyyy (14 maanden na de datum van de ceremonie)

Public Key Algorithm

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

Public Key Length

4096

Standaard Extenties

OID

Critical

Waarde

basicConstraints

{id-ce 19}

TRUE

n/a

cA

Clear (FALSE)

pathLenConstraint

n/a

keyUsage

{id-ce 15}

TRUE

n/a

digitalSignature

Set

certificatePolicies

{id-ce 32}

FALSE

n/a

policyIdentifiers

2.16.528.1.1003.1.2.1.1 (Root-CA_CP)

policyQualifiers

N/A

policyQualifierID

1.3.6.1.5.5.7.2.1

Qualifier

https://cps.pkioverheid.nl

policyQualifiers

n/a

policyQualifierID

1.3.6.1.5.5.7.2.2

Qualifier

Op dit certificaat is de Certification Practice Statement van de PA PKIoverheid van toepassing, welke kan worden geraadpleegd op https://cps.pkioverheid.nl

SubjectKeyIdentifier

{id-ce 14}

FALSE

n/a

KeyIdentifier

Method-1

AuthorityKeyIdentifier

{id-ce 35}

FALSE

n/a

KeyIdentifier

Hash of public key of Issuing CA

CrlDistributionPoints

{id-ce 31}

FALSE

n/a

DistributionPoint

n/a

Full Name (URI)

http://crl.pkioverheid.nl/RootLatestCRL-G3.crl

extendedKeyUsage

{id-ce 37 }

TRUE

n/a

Key Purpose - OCSPsigning

{id-kp 9}

1.3.6.1.5.5.7.3.9

PrivateExtenties

OID

Critical

Waarde

id-pkix-ocsp-nocheck

1.3.6.1.5.5.7.48.1.5

FALSE

05 00 (Null)

8 Conformiteitbeoordeling

8.1 Frequentie en omstandigheden van de conformiteitsbeoordeling

De PA van PKIoverheid zal zich houden aan de eisen zoals beschreven in de laatste versie van het WebTrust program for CA. De PA van PKIoverheid ondergaat hiervoor jaarlijks een WebTrust for CA Audit[8].

Naast de Principles and Criteria for the Audit Criteria, conformeert de PA PKIoverheid zich tevens aan de SSL Baseline Requirements Audit Criteria van Webtrust.

De PA PKIoverheid zal actief de wijzigingen in het Webtrust program for CA monitoren die van invloed zijn op dit CPS. Eveneens zal de PA PkIoverheid actief wijzigingen in de Baseline Requirements van het CA/Browserforum monitoren die van invloed zijn op dit CPS en op het Programma van Eisen van PKIoverheid. Deze wijzigingen zullen worden beoordeeld op hun impact op het CPS en PvE van PKIoverheid.

Tevens conformeert de PA PKIoverheid zich aan vastgesteld rijksbeleid op het gebied van informatiebeveiliging en privacy.

8.2 Identiteit, kwalificaties van de auditor

Audits worden uitgevoerd door een externe gecertificeerde WebTrust for CAs auditor.

8.3 Onderwerpen behandeld door de conformiteitbeoordeling

Bij deze audit wordt nagegaan of de kwaliteit en de beveiligingsmaatregelen van de ingerichte organisatie voldoen aan de gestelde Webtrust normen.

8.4 Acties op basis van afwijkingen

Indien additionele beveiligingsmaatregelen worden aanbevolen, dan zal de PA ter stond actie ondernemen om deze maatregelen te implementeren.

8.5 Communiceren van de resultaten

Door middel van een Webtrustzegel dat wordt gepubliceerd op de website van Logius toont de PA PKIoverheid jaarlijks aan te voldoen aan de Webtrust normen.

8.6 Toetreden CSP's tot de PKI voor de overheid

De CSP die wil toetreden tot de PKI voor de overheid zal conform bepaalde procedures moeten handelen. Een volledig overzicht is opgenomen in deel 2 van het PvE: Toetreding tot en Toezicht binnen de PKI voor de overheid. Onderstaande opsomming geeft een overzicht van de belangrijkste formaliteiten die moeten worden geregeld in het kader van toetreding.

· Voor toetreding tot de PKI voor de overheid dient een aanvraagformulier te worden ingevuld. De PA controleert de authenticiteit van de aanvraag door te controleren of de gegevens van de aanvrager overeenkomen met de gegevens zoals vermeld in een recent uittreksel uit het Handelsregister van de Kamer van Koophandel of, met betrekking tot organisaties binnen de overheid, indien inschrijving in het Handelsregister nog niet heeft plaatsgevonden of kan plaatsvinden, overeenkomen met de gegevens in de meest recente versie van de Staatsalmanak.

Het uitreksel van de Kamer van Koophandel dient niet ouder te zijn dan 13 maanden.

· Toetreding tot de PKI voor de overheid wordt formeel bevestigd met een overeenkomst of convenant tussen het ministerie van BZK en de CSP. Van een convenant is sprake als de CSP onderdeel is van de Rijksoverheid. Opdat de PA kan verifiëren dat de aanvrager van een CSP certificaat bevoegd is om een overeenkomst dan wel convenant aan te gaan, moet de CSP een recent uittreksel uit het Handelsregister van de Kamer van Koophandel overdragen. Hieruit moet blijken dat de aanvrager de Bevoegde Vertegenwoordiger is van de CSP. Het moet hierbij gaan om een natuurlijk persoon of personen. Indien inschrijving in het Handelsregister nog niet heeft plaatsgevonden of kan plaatsvinden, moet de CSP een kopie van de betreffende pagina uit de meest recente versie van de Staatsalmanak, waarin de Bevoegde Vertegenwoordiger (of Vertegenwoordiging) staat vermeldt, overdragen.

· CSP's die in Nederland gekwalificeerde certificaten uitgeven aan het publiek dienen bij de ACM geregistreerd te zijn. Op deze wijze wordt aangetoond dat de CSP handelt in overeenstemming met de Wet en het Besluit op de Elektronische Handtekeningen en de bijbehorende regelingen.

· CSP's die toe willen treden tot de PKI voor de overheid zijn verplicht zich te laten certificeren onder het TTP.NL-schema (of een gelijkwaardig schema in een andere Europese lidstaat) door een certificerende instelling die geaccrediteerd is door de Raad voor Accreditatie.

· De PKI voor de overheid vereist TTP.NL-certificatie voor uitgifte van certificaten ten behoeve van gekwalificeerde handtekeningen, authenticiteit en vertrouwelijkheid. Met een aanvullende auditverklaring dient de CSP aan te tonen dat wordt voldaan aan de aanvullende eisen die in het Programma van Eisen zijn opgenomen.

· De naamgevingen in het CSP-certificaat zijn gebaseerd op een zogenaamd Naming Document. Voor de naamgeving levert de CSP de gegevens aan. De overige verschillende certificaatvelden worden in afstemming tussen de PA en de CSP vastgesteld. Het Naming Document vormt de basis voor de creatieceremonie.

Het toetreden van een CSP tot de PKI voor de overheid resulteert in het creëren van een CSP-certificaat voor de publieke sleutel van de signing key van de CSP; dit CSP-certificaat is getekend door de PA.

De complete lijst met bij PKI voor de overheid toegetreden CSP’s is te vinden op de website van Logius op de onderstaande link. Op de website van Logius zijn tevens de CA-certificaten van de CSP’s te vinden:

http://www.logius.nl/producten/toegang/pkioverheid/aansluiten/toegetreden-csps/

8.6.1 Bewijs van conformiteit CSP (geen RFC 3647)

Een CSP dient bij toetreding tot de PKI voor de overheid een bewijs van conformiteit aan de PA te overleggen. Een onafhankelijke externe auditor zal de werkwijze van de CSP toetsen aan de TTP.NL criteria en de aanvullende eisen die zijn opgenomen in het Programma van Eisen. In geval van goedkeuring geeft de auditor na beoordeling een conformiteitcertificaat af; dit certificaat heeft een geldigheidsduur van drie jaar. De CSP overlegt een kopie van het conformiteitcertificaat aan de PA, evenals kopieën van de audit- en controlerapporten. Gezien het bewijs van conformiteit een geldigheidsduur van drie jaar heeft, dient de CSP na toetreding tot de PKI voor de overheid ééns in de drie jaar een herbeoordeling te laten uitvoeren.

Tevens is de CSP verplicht zich jaarlijks te laten beoordelen door een onafhankelijke externe auditor middels een controle-audit. Belangrijke tussentijdse wijzigingen die van invloed kunnen zijn op de CSP-dienstverlening meldt de CSP bij de auditor. De auditor voert desgewenst ad hoc een controlebeoordeling van de CSP uit.

Op basis van uitgevoerde audits dienen door de CSP in het kader van PKIoverheid jaarlijks[9] de volgende documenten te worden overhandigd aan de Policy Authority:

· Bewijs van conformiteit aan ETSI EN 319 411-2 c.q. TTP.NL certificatie; [10]

· Bewijs van conformiteit aan ETSI TS 102 042 c.q. TTP.NL certificatie (indien van toepassing);

· Goedkeurende auditverklaring voor de PKIo-eisen van de PKI voor de overheid.

Nadere verplichtingen van de CSP jegens de PA in dit verband zijn opgenomen in het Programma van Eisen, deel 2: Toetreding tot en Toezicht binnen de PKI voor de overheid.

Gedurende het proces van toelating van de CSP tot de PKI voor de overheid is de PA het aanspreekpunt voor de CSP. Derhalve benoemt de CSP de contactpersonen en draagt de PA vervolgens zorg voor het met zekerheid identificeren van de (vertegenwoordigers van de) CSP. Tevens stelt de PA vast dat de CSP in het bezit is van de private sleutel die hoort bij de voor verificatie aangeboden publieke sleutel.

Voor de procedures voor het tot stand komen, het vernieuwen en intrekken van CSP-certificaten wordt verwezen naar hoofdstuk 4 van dit document.

9 Algemene en juridische bepalingen

9.1 Tarieven

De Staat der Nederlanden <Domein> CA’s bevatten een verwijzing naar dit CPS. Er worden geen kosten in rekening gebracht voor het raadplegen van deze certificaten of de informatie waarnaar wordt verwezen. Dit geldt voor:

het raadplegen van de certificaten;

het raadplegen van de revocation status information (CRL's) en;

het raadplegen van de Programma van Eisen: Certificate Policies;

het raadplegen van dit CPS.

9.2 Financiële verantwoordelijkheid en aansprakelijkheid

In het kader van aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van de wettelijke verplichting tot schadevergoeding.BZK en een CSP sluiten een overeenkomst dan wel convenant over het deelnemen van de betreffende CSP aan de PKI voor de overheid. Inhoudelijk betekent dit dat de CSP verplicht is haar diensten te verlenen binnen de door BZK gestelde voorwaarden, met name de voorwaarden zoals gesteld in het Programma van Eisen. De PA is hierbij het aanspreekpunt voor de CSP.

Bepalingen omtrent aansprakelijkheid van BZK jegens een CSP zijn opgenomen in een overeenkomst dan wel convenant tussen BZK en de CSP. De eisen waaraan de aansprakelijkheid van de CSP moet voldoen zijn geformuleerd in het Programma van Eisen, deel 3: Certificate Policies.

De CSP sluit overeenkomsten met abonnees en vertrouwende partijen. In deze overeenkomsten wordt ook de aansprakelijkheid van de CSP jegens abonnees en vertrouwende partijen geregeld. De eisen waaraan deze aansprakelijkheid moet voldoen zijn opgenomen in de Algemene bepalingen van het Programma van Eisen, deel 3: Certificate Policies.

De Staat der Nederlanden heeft voor schadeclaims in het kader van eventuele aansprakelijkheid geen verzekering afgesloten. De Staat verzekert zich niet, de Staat is goed voor haar geld.

9.3 Vertrouwelijkheid van organisatiegegevens

De Policy Authority PKIoverheid gaat vertrouwelijk om met organisatiegegevens. Alleen medewerkers van de PA PKIoverheid hebben toegang tot deze gegevens.

Organisatiegegevens zoals auditrapporten en Corrective Action Plans van CSP’s worden versleuteld uitgewisseld.

9.4 Vertrouwelijkheid van persoonsgegevens

De PA PKIoverheid geeft in tegenstelling tot de CSP geen certificaten uit aan natuurlijke personen. Een registratie met persoonsgegevens van certificaathouders is derhalve niet aanwezig.

9.5 Intellectuele eigendomsrechten

Voorliggend CPS is eigendom van Logius. Ongewijzigde kopieën

van dit CPS mogen zonder toestemming verspreid en gepubliceerd worden mits dit met bronvermelding geschiedt.

9.6 Aansprakelijkheid en verplichtingen

Zie paragraaf 9.2.

9.7 Verwerping van aansprakelijkheid

Zie paragraaf 9.2.

9.8 Beperkingen van aansprakelijkheid

Zie paragraaf 9.2.

9.9 Vrijwaring

Zie paragraaf 9.2.

9.10 Geldigheidsduur en ontbinding CPS

Dit is versie 3.8 van het document "CERTIFICATION PRACTICE STATEMENT (CPS) Policy Authority PKIoverheid certificaten uit te geven door de Policy Authority van de PKI voor overheid", juni 2014.

Dit CPS is geldig vanaf de datum inwerkingtreding. Het CSP is geldig zolang de dienstverlening van de PKI voor de overheid voortduurt of tot dat het CPS wordt vervangen door een nieuwere versie. Nieuwere versies worden aangeduid met een hoger versienummer (vX.x). Bij ingrijpende wijzigingen wordt het versienummer opgehoogd met 1, bij overige minder ingrijpende aanpassingen wordt het versienummer opgehoogd met 0.1. Nieuwere versies worden gepubliceerd op de volgende website (https://cps.pkioverheid.nl).

9.11 Afspraken en communicatie tussen entiteiten uit de PKIoverheid-hiërarchie

Indien CSP’s vragen hebben kan contact worden opgenomen met de PA PKIoverheid.

Er wordt op regelmatige basis gecommuniceerd via e-mail met de contactpersonen van de aan het PKIoverheid stelsel deelnemende CSP’s.

CPS’s worden terstond op de hoogte gesteld van de publicatie van een nieuwe versie van het CPS of Programma van Eisen. Ook worden voorgenomen wijzigingen zo snel mogelijk kenbaar gemaakt.

Naast communicatie met de CSP’s is er tevens geregeld contact met de ACM en de auditor(s) van de deelnemende CSP’s.

9.12 Wijzigingen

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor dit CPS. Het ministerie heeft deze taak gedelegeerd aan Logius. Dit omvat ook het goedkeuren van wijzigingen op dit CPS.

Alle wijzigingen die niet tot de categorie van wijzigingen van redactionele aard behoren, worden bekend gesteld en leiden tot een nieuwe versie van het CPS. Wijzigingen van redactionele aard zijn geen aanleiding een nieuwe versie van het CPS te publiceren.

9.13 Geschillenbeslechting

Zie hiervoor de individuele overeenkomsten tussen Logius PKIoverheid en CSP’s.

9.14 Van toepassing zijnde wetgeving

Het Nederlands recht is van toepassing.

9.15 Naleving relevante wetgeving

De PA-functie wordt uitgevoerd door Logius. Logius is een baten- en lastendienst en onderdeel van het Directoraat-Generaal Bestuur en Koninkrijksrelaties. Op Logius is de Awb van toepassing.

Bijlage A. Tekst bekendmaking stamcertificaat

Stamcertificaat G1

Zoals gepubliceerd in de Staatscourant van vrijdag 11 april 2003 (nr. 72, blz. 9).

Officiële publicatie

De Minister van Binnenlandse Zaken en Koninkrijksrelaties maakt bekend dat 17 december 2002 het stamcertificaat van de PKI voor de overheid is gecreëerd onder de naam

Staat der Nederlanden Root CA Certificaat

Dit stamcertificaat is het centrale deel van de PKI voor de overheid. Het stamcertificaat is het ankerpunt voor vertrouwen in elektronische transacties van en met de overheid bij het vaststellen van identiteit, het afgeven van wilsuitingen en het vertrouwelijk communiceren.

De houder van het stamcertificaat is geïdentificeerd als de Staat der Nederlanden Root CA (Common name), Staat der Nederlanden (Organisation), NL (Country) .

Het serienummer van het stamcertificaat is 10000010 (hexadecimaal 00 98 96 8A).

Het stamcertificaat is geldig tot: woensdag 16 december 2015 - 09u.15m.38s GMT.

De identificatie van het stamcertificaat (de vingerafdruk in hexadecimale vorm) is op basis van het SHA1-algoritme: 101D FA3F D50B CBBB 9BB5 600C 1955 A41A F473 3A04

Dit stamcertificaat, de documenten die aan dit certificaat ten grondslag liggen en nadere informatie over dit stamcertificaat zijn in elektronische vorm beschikbaar op de internetpagina: http://www.pkioverheid.nl. Op deze site is toegelicht op welke wijze de identificatie van het stamcertificaat kan plaatsvinden.

Het beheer van het stamcertificaat is opgedragen aan de Policy Authority van de PKI voor de overheid. Deze organisatie is gedurende 2003 onderdeel van ICTU.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties

Stamcertificaat G2

Zoals gepubliceerd in de Staatscourant van maandag 15 december 2008 (nr. 243, blz. 1).

Officiële publicatie

De Minister van Binnenlandse Zaken en Koninkrijksrelaties maakt bekend dat 26 maart 2008 een nieuw stamcertificaat van de PKI voor de overheid is gecreëerd onder de naam

Staat der Nederlanden Root CAG2 Certificaat

Dit stamcertificaat is het centrale deel van de PKI voor de overheid. Het stamcertificaat is het ankerpunt voor vertrouwen in elektronische transacties van en met de overheid bij het vaststellen van identiteit, het afgeven van wilsuitingen en het vertrouwelijk communiceren.

De houder van het stamcertificaat is geïdentificeerd als de Staat der Nederlanden Root CA - G2 (Common name), Staat der Nederlanden (Organisation), NL (Country).

Het serienummer van het stamcertificaat is 10000012 (hexadecimaal 0098 968C).

Het stamcertificaat is geldig tot: woensdag 25 maart 2020 11u:03m:10s GMT.

De identificatie van het stamcertificaat (de vingerafdruk in hexadecimale vorm) op basis van het SHA1-algoritme is: 59AF 8279 9186 C7B4 7507 CBCF 0357 46EB 04DD B716

Dit stamcertificaat, de documenten die aan dit certificaat ten grondslag liggen en nadere informatie over dit stamcertificaat zijn in elektronische vorm beschikbaar op de internetpagina: http://www.pkioverheid.nl/. Op deze site is toegelicht op welke wijze de identificatie van het stamcertificaat kan plaatsvinden.

Het beheer van het stamcertificaat is opgedragen aan de Policy Authority van de PKI voor de overheid. Deze organisatie is ondergebracht bij de gemeenschappelijke beheerorganisatie Logius. Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

G. ter Horst.

Stamcertificaat G3

Officiële publicatie

De Minister van Binnenlandse Zaken en Koninkrijksrelaties maakt bekend dat 14 november 2013 een nieuw stamcertificaat van de PKI voor de overheid is gecreëerd onder de naam

Staat der Nederlanden Root CA - G3

Dit stamcertificaat is het centrale deel van de PKI voor de overheid. Het stamcertificaat is het ankerpunt voor vertrouwen in elektronische transacties van en met de overheid bij het vaststellen van identiteit, het afgeven van wilsuitingen en het vertrouwelijk communiceren.

De houder van het stamcertificaat is geïdentificeerd als de Staat der Nederlanden Root CAG3 (Common name), Staat der Nederlanden (Organisation), NL (Country).

Het serienummer van het stamcertificaat is 10003001 (hexadecimaal 00 98 a2 39).

Het stamcertificaat is geldig tot: dinsdag 14 november 2028 0:00:00 uur.

De identificatie van het stamcertificaat (de vingerafdruk in hexadecimale vorm) op basis van het SHA1-algoritme is: D8EB 6B41 5192 59E0 F3E7 8500 C03D B688 97c9 EEFC.

Dit stamcertificaat, de documenten die aan dit certificaat ten grondslag liggen en nadere informatie over dit stamcertificaat zijn in elektronische vorm beschikbaar op de website: http://www.logius.nl/producten/toegang/pkioverheid/. Op deze website is toegelicht op welke wijze de identificatie van het stamcertificaat kan plaatsvinden.

Het beheer van het stamcertificaat is opgedragen aan de Policy Authority van de PKI voor de overheid. Deze organisatie is ondergebracht bij Logius, dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties

Bijlage B. Procedures voor het wijzigingenbeheer van het PvE PKIoverheid

Overlegstructuur

1. Het PKIoverheidstelsel kent de volgende overleggen ten behoeve van het wijzingenbeheer van het Programma van Eisen: het PKIoverheid wijzigingenoverleg en PKIoverheid stelseloverleg.

2. Het stelseloverleg bestaat uit een afvaardiging van de PA en de CSP’s die deelnemen aan het PKIoverheidstelsel. Het wijzigingenoverleg wordt eveneens gevormd door een afvaardiging van de PA en CSP’s waarbij de mogelijkheid wordt geboden om experts uit te nodigen.

3. Auditors van CSP’s die deelnemen aan het PKIoverheidstelsel mogen als toehoorder aanschuiven bij het wijzigingenoverleg en / of stelseloverleg. Wanneer een auditor aanwezig is heeft deze kennis genomen van de wijzigingsvoorstellen en kan tenminste aangeven of een nieuwe of gewijzigde norm auditeerbaar is.

4. Beide overleggen zijn in het bijzonder bedoeld om wijzigingen in het Programma van Eisen (PVE) af te stemmen.

Het wijzigingenoverleg wordt gebruikt om conceptwijzigingsvoorstellen te bespreken en zoveel mogelijk consensus te bereiken over definitieve wijzigingsvoorstellen.

Het stelseloverleg wordt gebruikt voor mededelingen omtrent het PKIoverheidstelsel en om een voorgenomen besluit te nemen over opname van definitieve wijzigingsvoorstellen in een eerstvolgende versie van het PVE met daarbij een ingangsdatum.

5. Het stelseloverleg vindt in principe 2 keer per jaar plaats ten behoeve van de publicatie van een nieuwe versie van het Programma van Eisen van PKIoverheid.

6. Een wijzigingenoverleg vindt in ieder geval een maand voorafgaand aan het stelseloverleg plaats, maar kan ook vaker plaatsvinden om wijzigingsvoorstellen met een grote impact te bespreken.

7. Voor het bespreken van specifieke onderwerpen, niet direct gerelateerd aan actuele PVE wijzigingen kunnen aparte bijeenkomsten worden georganiseerd.

Besluitvorming

1. In het stelseloverleg wordt getracht om op basis van consensus een voorgenomen besluit te nemen over de inhoud en ingangsdatum van wijzigingen in het Programma van Eisen.

2. Wijzigingen in het PVE worden doorgevoerd door Het Ministerie van Binnenlandse Zaken die als opdrachtgever eindverantwoordelijk is voor het PKIoverheid stelsel en beslist over het doorvoeren van wijzigingsvoorstellen, al dan niet via een versnelde wijzigingsprocedure. De PA adviseert de opdrachtgever hierbij.

3. Elk voorgenomen besluit naar aanleiding van een stelseloverleg of versnelde wijzigingsprocedure, wordt door de PA ter goedkeuring voorgelegd aan een door de Minister van Binnenlandse Zaken en Koninkrijksrelaties daartoe aangewezen functionaris tezamen met een advies van de PA en het standpunt van de CSP’s.[11]

4. Tevens zal de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties daartoe aangewezen functionaris worden geïnformeerd over wijzigingsvoorstellen die (tijdelijk) zijn ingetrokken.

5. Indien sprake is van een verschil van inzicht met de CSP’s over een wijzigingsvoorstel, zal de beslissing door de functionaris van het Ministerie van Binnenlandse Zaken worden gemotiveerd.

6. Bij goedkeuring door de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen functionaris wordt de wijziging door de PA duidelijk herkenbaar en in begrijpelijke taal gepubliceerd op de website van Logius. Bij publicatie wordt tevens vermeld wanneer de wijziging van kracht zal worden.

7. Aanvullend stelt de PA de CSP contactpersonen en de indiener van het wijzigingsvoorstel actief elektronisch en/of schriftelijk op de hoogte van het genomen besluit.

8. Indien sprake is van een nieuwe versie van het PVE zal voor publicatie een formele handtekening nodig zijn van zowel de directeur van Logius als de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen functionaris. Indien sprake is van een versnelde wijzigingsprocedure zal goedkeuring van wijzigingen per e-mail volstaan.

9. De door de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen functionaris behoudt zich het recht voor om autonoom wijzigingen door te voeren in het PVE in het kader van een (dreigend) incident, calamiteit of crisis.

Normenkader

1. CSP’s zijn verplicht zich te houden aan de inhoud en ingangsdatum van wijzigingen die door de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen functionaris zijn goedgekeurd dan wel afgekondigd.

2. Wanneer een CSP niet kan voldoen aan de ingangsdatum van een nieuwe of gewijzigde eis, zal de CSP hiervoor formeel dispensatie moeten aanvragen bij de PA PKIoverheid.

3. Een verzoek tot dispensatie wordt uiterlijk een week na het stelsoverleg formeel ingediend en aangekondigd tijdens het overleg.

4. Dispensatie moet elektronisch en/of schriftelijk aangevraagd worden bij de PA PKIoverheid.

5. Het verlenen van dispensatie wordt door de PA ter goedkeuring voorgelegd aan de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties daartoe aangewezen functionaris.

6. De PA zal elektronisch en/of schriftelijk reageren met een afschrift naar de auditor van de CSP waarin het verzoek wordt gehonoreerd of afgewezen.

Wijzigingsvoorstellen

1. De volgende partijen kunnen een wijzigingsvoorstel betreffende een onderdeel of een bepaling van het Programma van Eisen (PVE) indienen via de reguliere of versnelde wijzigingsprocedure:

• Het ministerie van BZK;

• De PA PKIoverheid (PA);

CSP's binnen de PKI voor de overheid die het PVE hanteren.

2. De PA kan wijzigingsvoorstellen indienen op basis van input van eindgebruikers of andere belanghebbenden. Dit zal duidelijk worden aangeven bij het wijzigingsverzoek.

3. Wijzigingsverzoeken worden normaliter afgestemd via een wijzigingenoverleg en stelseloverleg. Indien een wijziging niet kan wachten tot een volgende versie van het PVE kan een versnelde wijzigingsprocedure worden gevolgd.

4. Het indienen van een wijzigingsvoorstel dient te geschieden door het aan-vraagformulier "Wijzigingsvoorstel Programma van Eisen" in te vullen en dit bij de PA aan te bieden. Dit formulier kan worden gevonden op de website van de PA of kan direct worden aangevraagd bij de PA.

5. De PA behandelt een ingediend wijzigingsvoorstel betreffende een onderdeel of een bepaling van het PVE conform gedocumenteerde interne processen. In het geval van een wijziging van inhoudelijke aard geeft de PA een advies, inclusief tekstvoorstel, impactanalyse (onder meer voor een overgangsregeling, ingangsdata en eventuele dispensatie) en motivatie. Deze worden aan de CSP’s ter afstemming voorgelegd.

Reguliere wijzigingsprocedure

1. In principe wordt twee keer per jaar een nieuwe versie van het PVE gepubliceerd. Een voorgenomen besluit omtrent opname van een nieuwe of gewijzigde eis in het PVE wordt genomen in het stelseloverleg voorafgaand aan de publicatie.

2. Een wijzigingsvoorstel wordt door de PA direct verspreid onder de CSP’s en de auditoren van de CSP’s zodra een concept hiervan gereed is.

3. Wijzigingsvoorstellen worden, ten minste tien weken voor het stelseloverleg plaatsvindt, verstuurd naar de CSP’s.

4. Wijzigingsverzoeken die na deze datum worden ingediend kunnen niet meer in behandeling worden genomen voor publicatie in de eerstvolgende versie van het PVE, tenzij de PA en CSP’s unaniem van mening zijn dat deze wijziging nog kan worden meegenomen.

5. CSP’s hebben vijf weken de tijd om wijzigingsvoorstellen te analyseren en feedback te geven aan de PA.

6. Deze feedback wordt meegenomen in een wijzigingenoverleg voorafgaand aan het stelseloverleg.

7. Naar aanleiding van het wijzigingenoverleg worden wijzigingsvoorstellen definitief gemaakt.

8. De data voor het wijzigingen- en stelseloverleg worden zo snel mogelijk na het versturen van de laatste conceptvoorstellen t.b.v. van een volgende versie van het PVE door de PA vastgesteld, waarbij er mimimaal 4 weken zitten tussen het wijzigingenoverleg en het stelseloverleg.

9. Definitieve wijzigingsvoorstellen worden uiterlijk twee weken na het wijzigingenoverleg verstuurd aan de CSP’s en de auditors tezamen met de agenda voor het stelseloverleg.

10. De reactietermijn van CSP’s op de agenda en de definitieve wijzigingsvoorstellen bedraagt mimimaal een week en is maximaal een week voor aanvang van het stelseloverleg.

11. CSP’s worden geacht om niet met nieuwe inhoudelijke inzichten te komen nadat de definitieve wijzigingsvoorstellen zijn afgerond en verstuurd. Hiermee wordt beoogd te voorkomen dat de PA en overige CSP’s tijdens het stelseloverleg worden gedwongen een beslissing te nemen zonder een goede afweging te hebben gemaakt over het inhoudelijk nieuwe voorstel.

12. Indien de afvaardiging van een CSP niet aanwezig kan zijn bij een wijzigingenoverleg of stelseloverleg, wordt de CSP contactpersoon geacht vooraf zijn standpunt schriftelijk toe te lichten aangaande de inhoud en ingangsdatum van wijzigingen.

13. Na het stelseloverleg wordt het PVE zo spoedig mogelijk gepubliceerd. De ingangsdata van de nieuwe of gewijzigde wijzigingen zijn minimaal vier weken na publicatie van de nieuwe versie van het PVE.

14. Ingangsdata van wijzigingen worden expliciet opgenomen in het PVE.

I Regulier wijzigingenproces in weken

Afbeelding met overzicht van PKIoverheid CPS wijzigingsproces

Versnelde wijzigingsprocedure

1. Wijzigingen worden normaliter via de reguliere wijzigingsprocedure afgehandeld. Bij een (dreigend) incident, calamiteit of crisis zal de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen functionaris autonoom wijzigingen kunnen doorvoeren. Daarnaast kan ook een versnelde wijzigingsprocedure worden gevolgd, indien het noodzakelijk is om een wijziging door te voeren ruim voor publicatie van een nieuwe versie van het PVE.

2. De PA besluit wanneer het noodzakelijk is om een versnelde wijzigingsprocedure te volgen en zal bij zijn afweging de grootst mogelijke zorgvuldigheid betrachten.

3. Bij een versnelde wijzigingsprocedure wordt het volgende proces gevolgd:

a) De intentie van de PA om een wijziging via een versnelde wijzigingsprocedure te publiceren op de website van Logius wordt aan de CSP’s, de auditors van de CSP’s en de door de minister van Binnelandse Zaken en Koninkrijksrelaties aangewezen functionaris kenbaar gemaakt via e-mail tezamen met het wijzigingsverzoek.

b) CSP’s hebben minimaal een week de tijd om bezwaar aan te tekenen tegen de inhoud en / of ingangsdatum van deze wijziging.

c) Een bezwaar wordt in behandeling genomen door de PA PKioverheid die zal pogen om in goed overleg tot een gedragen advies te komen.

d) Besluitvorming door het Ministerie van Binnenlandse Zaken geschiedt zoals beschreven in de paragraaf “Besluitvorming”.

e) De PA publiceert de wijziging op de website en communiceert dit naar de CSP’s. CSP’s zijn verplicht zich te houden aan de inhoud en de ingangsdatum van de op de website van Logius gepubliceerde wijziging.

Overigen

1. Het PVE en de geaccordeerde wijzigingen hierop kunnen in elektronische vorm worden verkregen via Internet op de website van de PA. Het adres hiervan is: http://www.logius.nl/pkioverheid.

2. In het PVE zal worden verwezen naar deze wijzigingenprocedure, die wordt opgenomen in het CPS van PKIoverheid.

Bijlage C. Certificaatprofiel CSP CA

Basis Extensies

OID

Critical

Waarde

Certificate

N/a

SignatureAlgorithm·Algorithm

{ pkcs-1 5 }

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

SignatureValue

Handtekening door Domein <domeinnaam> CA – G<nummer> gegenereerd

TBSCertificate

N/a

Version

2

SerialNumber

door Domein <domeinnaam> CA – G<nummer>gegenereerd

Signature

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

Issuer·CountryName

C

NL

Issuer·OrganisationName

O

Staat der Nederlanden

Issuer· CommonName

CN

Staat der Nederlanden <domeinnaam> CA – G<nummer>

Validity·NotBefore

dd-mm-yyyy

Validity·NotAfter

dd-mm-yyyy

SubjectCountryName

C

NL

Subject·OrganisationName

O

<CSP naam>

Subject·CommonName

CN

<CSP naam><domeinnaam> CA – G<nummer>

SubjectPublicKeyInfo

Publieke sleutel CSP-CA (Keylength=4096)

Standaard Extenties

OID

Critical

Waarde

CertificatePolicies

{id-ce 32}

FALSE

N/a

PolicyIdentifier

2.16.528.1.1003.1.2.5.4

PolicyIdentifier

2.16.528.1.1003.1.2.5.5

PolicyIdentifier

2.16.528.1.1003.1.2.5.6

Qualifier·CPSURL

https://cps.pkioverheid.nl

KeyUsage

{id-ce 15}

TRUE

N/a

KeyCertSign

Set

CRLSign

Set

AuthorityKeyIdentifier

{id-ce 35}

FALSE

N/a

KeyIdentifier

160-bit SHA-1 Hashwaarde van de Domein <domeinnaam> CA – G<nummer>

SubjectKeyIdentifier

{id-ce 14}

FALSE

N/a

KeyIdentifier

160-bit SHA-1 Hashwaarde van deze CSP CA

SubjectAltName

{id-ce 17}

FALSE

N/a

directoryAddress

CN = <supplied during CSP key ceremony>

AuthorityInfoAccess

{id-pe 1}

FALSE

accessMethod

1.3.6.1.5.5.7.48.1

OCSP

accessLocation: URI

http://Dom<domeinnaam>ocsp-g<nummer>.pkioverheid.nl

accessMethod

1.3.6.1.5.5.48.2

Certification Authority Issuer

accessLocation: URI

http://cert.pkioverheid.nl/ Dom <domeinnaam> CA–G<nummer>.cer

CRLDistributionPoints

{id-ce 31}

FALSE

N/a

DistributionPoint·FullName

http://crl.pkioverheid.nl/Dom<domeinnaam>LatestCRL.crl

BasicConstraints

{id-ce 19}

TRUE

N/a

CA

Set

PathLenConstraint

0

Bijlage D. Inhoud velden G1 stamcertificaten en domeincertificaten

Attribuut

Stamcertificaat

Domein Overheid

Domein Burger

Versie

V3

Serienummer

0098 968A

0098 9A79

0098 9A7A

Algoritme voor handtekening

sha1WithRSAEncryption (1.2.840.113549.1.1.5)

Verlener

CN = Staat der Nederlanden Root CA

O = Staat der Nederlanden

C = NL

Geldig van / tot

dinsdag 17 december 2002 10:23:49

woensdag 16 december 2015 10:15:38

woensdag 29 januari 2003 13:21:45

dinsdag 28 juli 2015 13:20:38

woensdag 29 januari 2003 14:17:04

dinsdag 28 juli 2015 14:16:23

Onderwerp

CN = Staat der Nederlanden Root CA

O = Staat der Nederlanden

C = NL

Staat der Nederlanden Overheid CA

Staat der Nederlanden

NL

Staat der Nederlanden Burger CA

Staat der Nederlanden

NL

Openbare sleutel

RSA (2048 Bits) Bevat cijferreeks. Bevat o.a. de publieke sleutel.

RSA (2048 Bits) Bevat cijferreeks. Bevat o.a. de publieke sleutel.

RSA (2048 Bits) Bevat cijferreeks. Bevat o.a. de publieke sleutel.

Certificate Policies

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/root-policy

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/dom-ov-policy

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/dom-bu-policy

Sleutel ID van CA

N.V.T.

Sleutel-ID=A87D EBBC 63A4 7413 7400 EC96 E0D3 34C1 2CBF 6CF8

Certificaatverlener:

CN=Staat der Nederlanden Root CA

O=Staat der Nederlanden

C=NL

Serienummer van certificaat=0098 968A

CRL distributie

N.V.T.

URL= http://crl.pkioverheid.nl/LatestCRL.crl

Sleutel ID van onderwerp

A87D EBBC 63A4 7413 7400 EC96 E0D3 34C1 2CBF 6CF8

0B86 D60F 77A3 68B1 FB64 09C3 886E 5C04 1C57 E93D

6687 6858 FC2A 9764 1ED6 1FF9 7892 2D81 B0B2 40A4

Essentiële beperkingen

Subjecttype=CA

Beperking voor padlengte=Geen

Sleutelgebruik

Certificaatondertekening , Off line CRL-ondertekening , CRL-ondertekening(06)

Vingerafdruk algoritme

sha1

Vingerafdruk

101D FA3F D50B CBBB 9BB5 600C 1955 A41A F473 3A04

29FC 35D4 CD2F 717C B732 7F82 2A56 0CC4 D2E4 437C

CAA0 9BB9 22A6 6B0B 2EAD E1EB 3F51 E9C0 4C6C A40E

Bijlage E. Inhoud velden G2 stamcertificaten en domeincertificaten

Attribuut

Stamcertificaat

Domein Organisatie

Domein Burger

Domein Autonome Apparaten

Versie

V3

Serienummer

0098 968C

0098 96F4

0098 96F3

0098 97BB

Algoritme voor handtekening

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

Verlener

CN = Staat der Nederlanden Root CA - G2

O = Staat der Nederlanden

C = NL

Geldig van / tot

woensdag 26 maart 2008 12:18:17

woensdag 25 maart 2020 12:03:10

maandag 31 maart 2008 13:03:09

dinsdag 24 maart 2020 14:02:08

maandag 31 maart 2008 11:45:11

dinsdag 24 maart 2020 12:43:57

dinsdag 3 november 2009 14:35:47

dinsdag 24 maart 2020 14:34:41

Onderwerp

CN = Staat der Nederlanden Root CA - G2

O = Staat der Nederlanden

C = NL

Staat der Nederlanden Organisatie CA - G2

Staat der Nederlanden

NL

Staat der Nederlanden Burger CA - G2

Staat der Nederlanden

NL

Staat der Nederlanden Autonome Apparaten CA - G2

Staat der Nederlanden

NL

Openbare sleutel

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

Certificate Policies

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/root-policy-G2

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/dom-org-policy-G2

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/dom-bu-policy-G2

ID=2.5.29.32.0

Beleidskwalificatie-ID=CPS

http://www.pkioverheid.nl/policies/dom-aa-policy-G2

Sleutel ID van CA

N.V.T.

Sleutel-ID=91 68 32 87 15 1d 89 e2 b5 f1 ac 36 28 34 8d 0b 7c 62 88 eb

Certificaatverlener:

CN= Staat der Nederlanden Root CA - G2

O=Staat der Nederlanden

C=NL

Serienummer van certificaat=0098 968C

CRL distributie

N.V.T.

URL= http://crl.pkioverheid.nl/RootLatestCRL-G2.crl

Sleutel ID van onderwerp

91 68 32 87 15 1d 89 e2 b5 f1 ac 36 28 34 8d 0b 7c 62 88 eb

39 10 8b 49 92 5c db 61 12 20 cd 49 9d 1a 8e da 9c 67 40 b9

91 a5 0d dd 1d a0 d1 2a 68 a7 1b 8d db 48 9a aa 34 a9 7f 96

7d 76 81 96 1e 4a 29 d1 ce 5e 12 0a 2a d4 d1 d4 ed bc ed 99

Essentiële beperkingen

Subjecttype=CA

Beperking voor padlengte=Geen

Sleutelgebruik

Certificaatondertekening , Off line CRL-ondertekening , CRL-ondertekening(06)

Vingerafdruk algoritme

sha1

Vingerafdruk

59AF 8279 9186 C7B4 7507 CBCF 0357 46EB 04DD B716

0B28 9953 4531 27C4 0B22 FA95 3D11 F79E 052C 0580

1F86 401F 89BB DE38 251A 718D E9E4 44EA 9936 EBE1

EAFD 2EAB 7089 485D FDD2 8C4A CA1B 27F2 E34E 6717

Bijlage F. Inhoud velden G3 stamcertificaten en domeincertificaten

Attribuut

Stamcertificaat

Domein Burger

Domein Organisatie Services

Domein Organisatie Persoon

Domein Autonome Apparaten

Versie

V3

Serienummer

00 98 a2 39

00 98 a2 47

00 98 a2 3c

00 98 a2 46

00 98 a2 a0

Algoritme voor handtekening

sha256WithRSAEncryption (1.2.840.113549.1.1.11)

Verlener

CN = Staat der Nederlanden Root CAG3

O = Staat der Nederlanden

C = NL

Geldig van / tot

do 14 november 2013 12:28:42

di 14 november 2028 0:00:00

do 14 november 2013 17:08:12

ma 13 november 2028 0:00:00

do 14 november 2013 13:27:56

ma 13 november 2028 0:00:00

do 14 november 2013 16:09:37

ma 13 november 2028 0:00:00

vr 15 november 2013 10:04:59

ma 13 november 2028 0:00:00

Onderwerp

CN = Staat der Nederlanden Root CAG3

O = Staat der Nederlanden

C = NL

CN = Staat der Nederlanden Burger CA - G3

O = Staat der Nederlanden

C = NL

CN = Staat der Nederlanden Organisatie Services CA - G3

O = Staat der Nederlanden

C = NL

CN = Staat der Nederlanden Organisatie Persoon CA - G3

O = Staat der Nederlanden

C = NL

CN = Staat der Nederlanden Autonome Apparaten CA - G3

O = Staat der Nederlanden

C = NL

Openbare sleutel

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks. Bevat o.a. de publieke sleutel.

RSA (4096 Bits) Betreft cijferreeks.

Bevat o.a. de publieke sleutel.

Certificate Policies

N.V.T.

ID=2.16.528.1.1003.1.2.3.1

ID=2.16.528.1.1003.1.2.3.2

ID=2.16.528.1.1003.1.2.3.3

Beleidskwalificatie-id=CPS

https://cps.pkioverheid.nl

ID=2.16.528.1.1003.1.2.3.4

ID=2.16.528.1.1003.1.2.3.5

ID=2.16.528.1.1003.1.2.3.6

Beleidskwalificatie-id=CPS

https://cps.pkioverheid.nl

ID=2.16.528.1.1003.1.2.5.1

ID=2.16.528.1.1003.1.2.5.2

ID=2.16.528.1.1003.1.2.5.3

Beleidskwalificatie-id=CPS

https://cps.pkioverheid.nl

ID=2.16.528.1.1003.1.2.6.1

ID=2.16.528.1.1003.1.2.6.2

ID=2.16.528.1.1003.1.2.6.3

Beleidskwalificatie-id=CPS

https://cps.pkioverheid.nl

Sleutel ID van CA

N.V.T.

Sleutel-ID=54 ad fa c7 92 57 ae ca 35 9c 2e 12 fb e4 ba 5d 20 dc 94 57

CRL distributie

N.V.T.

URL= http://crl.pkioverheid.nl/RootLatestCRL-G3.crl

Sleutel ID van onderwerp

54 ad fa c7 92 57 ae ca 35 9c 2e 12 fb e4 ba 5d 20 dc 94 57

ff 68 75 42 7d fa 6f c7 5a 93 38 9f 35 44 d0 aa 2d 00 b2 89

43 eb 4d 00 d3 95 93 ce a6 7c 40 0d 6d 11 be 39 d1 32 ae e2

ee ac 6d 40 ea d5 04 6a 87 2c 55 7b f5 3f 2d da ee db ac e2

6d 1b 25 02 5d e0 48 f4 6e 13 75 e2 57 84 9d 50 f3 30 14 43

Toegang tot CA-gegevens

N.V.T.

N.V.T.

Toegangsmethode=On line status van het certificaat

URL=http://rootocsp-g3.pkioverheid.nl

N.V.T.

N.V.T.

Essentiële beperkingen

Subjecttype=CA

Beperking voor padlengte=Geen

[1] Zie in dit verband de nota “De Elektronische Overheid aan het begin van de 21e eeuw” ( Tweede Kamer, vergaderjaar 2000 – 2001, 26 387, nr. 9) van de Minister voor Grote Steden – en Integratiebeleid aan de Voorzitter van de Tweede Kamer der Staten – Generaal.

[3] Het centrale deel betreft de Staat der Nederlanden Root CA en de Staat der Nederlanden <Domein> CA’s.

[4] Deze controles worden normaliter automatisch door de gebruikte applicatie uitgevoerd. De genoemde controles dienen voor ieder certificaat uit de vertrouwensketen te worden uitgevoerd.

[6] De PA staat niet toe dat dezelfde signing keys gebruikt worden als in het oude CSP-certificaat.

[7] Vanwege de vertrouwelijkheid wordt in dit CPS niet aangegeven over hoeveel sleutelhouders de activeringsgegevens zijn verdeeld.

[9] De termijn start op het moment dat het overeenkomst of convenant met BZK, niet zijnde het overeenkomst of convenant voor voorlopige toetreding, door beide partijen is ondertekend.

[10] Certificering tegen ETSI en 319 411-2 treedt pas formeel in werking na accommodering van TTP.NL..

[11] Momenteel is dat de directeur van B&I van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Exported on: 2023-06-29.