Overheid zegt vertrouwen in de certificaten van Diginotar op
Onlangs is duidelijk geworden dat er elektronisch is ingebroken bij het bedrijf Diginotar. Daar zijn frauduleuze certificaten bij in omloop gekomen. Certificaten zijn nodig om het internetverkeer veilig te laten verlopen. Voor agentschap BPR gaat het dan om GBA-V, PIVA-V en BV BSN, maar ook bij voorbeeld het foutenmeldpunt BSN. Diginotar geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten die beiden niet langer betrouwbaar zijn.
Wat betekent het voor u?
Een groot aantal afnemers van het agentschap BPR
maakt gebruik van Diginotar PKIo certificaten die gebruikt worden
voor een veilige communicatie met één of meerdere systemen van BPR.
Het is van belang dat deze PKIo certificaten (van
Diginotar) spoedig worden vervangen. Voor een
certificatiedienstverlener en de te nemen stappen voor het
vernieuwen van uw certificaat kunt u kijken op de
website van Logius.
Het is mogelijk dat in uw infrastructuur aanpassingen gedaan moeten worden om de nieuwe certificaten van BPR en andere PKI Overheid gebruikers te herkennen en vertrouwen. Voor meer informatie verwijzen wij u naar de officiële website van PKI Overheid: http://www.logius.nl/fileadmin/logius/product/pkioverheid/documenten/110905_Veelgestelde_vragen_over_vervangen_SSL-cerfiticaten_v1_0.pdf.
G1 en G2 certificaten
Let bij het aanvragen van de nieuwe certificaten op
dat u G1 (SHA1) certificaten aanvraagt. Dit G1 certificaat moet tot
1 januari 2012 worden gebruikt. Vanaf 1 januari 2012 kunt u alleen
nog maar G2 (SHA2) certificaten gebruiken. GemnetCSP biedt de
mogelijkheid om bij een aanvraag van een G2 certificaat tevens een
G1 certificiaat te leveren. U moet dit wel apart aanvinken! De
kosten voor het aanvragen van de nieuwe certificaten is voor eigen
rekening.
Vanaf een nog nader te bepalen datum zullen de Diginotar client certificaten niet langer door de systemen GBA-V, BV BSN en PIVA-V worden geaccepteerd. Dit moment zullen we waar mogelijk in afstemming met onze afnemers bepalen.
Wat doet BPR?
Het agentschap BPR zal deze week voor haar systemen
een begin maken met de vervanging van de services certificaten.
Deze certificaten worden gebruikt voor een veilige uitwisseling van
gegevens tussen systemen.
Deze vervanging heeft tot gevolg dat deze week een onderhoudswindow
zal worden ingelast voor de systemen GBA-V, BV BSN en PIVA-V.
Hou voor de precieze datum de berichtgeving op deze website in de
gaten.
Is de veiligheid gegarandeerd?
De veiligheid van onze systemen (GBA-V, BV BSN,
PIVA-V, foutenmeldpunt BSN) is nog gegarandeerd. BPR werkt met een
strikte juridische autorisatieprocedure, een besloten
netwerk en een dubbellaags beveiliging (het gebruik van
account/wachtwoord en het PKI-O certificaat). Bovendien wordt 24
uur per dag, 7 dagen per week al het berichtenverkeer, bevragingen
en toegang tot de systemen gemonitord. Iedere verdachte afwijking
wordt direct gesignaleerd en geregistreerd en vervolgens worden
maatregelen genomen. Het normale GBA berichtenverkeer wordt niet
geraakt door de Diginotar perikelen omdat we hiervoor andere
certificaten gebruiken.
Voor vragen kunt u terecht bij onze Servicedesk via telefoonnummer 088-9001000 of agentschap@bprbzk.nl.