Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

More documents

Recommendations

Info

Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 Inleiding Dit document heeft tot doel om partijen een helder beeld te geven van de activiteiten die zij moeten uitvoeren om gecompromitteerde certificaten te vervangen waar deze certificaten worden gebruikt voor de beveiliging van elektronisch berichtenverkeer dat is ingericht op basis van Digikoppeling (Digikoppeling Koppelvlakstandaarden WUS en ebMS). 1.1 Achtergrond en overzicht van het probleem Digikoppeling omvat de standaarden voor elektronisch berichtenverkeer tussen overheden (Koppelvlakstandaarden) alsmede een aantal producten die helpen bij het implementeren van dit berichtenverkeer (Service Register, Compliancyvoorziening WUS, Compliancyvoorziening ebMS en CPA-Creatievoorziening). Inmiddels zijn er een aantal diensten waarbij berichtenverkeer is ingericht op basis van Digikoppeling. Hieronder vallen producten die Logius in beheer heeft (waaronder Digimelding, Inspectieview en Digipoort), maar er zijn ook organisaties die onderling berichtenverkeer hebben geregeld die buiten het directe blikveld van Logius vallen (denk hierbij aan berichtenverkeer tussen overheidsinstanties enerzijds en een aantal basisregistraties, Omgevingsloket Online en/of MijnOverheid anderzijds). Beveiliging is onder Digikoppeling in de eerste plaats ingericht middels transportbeveiliging ( Transport Level Security - TLS versie1.0 of, in oudere situaties, SSL versie 3.0) en tweezijdige authenticatie. Daarnaast biedt Digikoppeling vanaf Digikoppeling 2.0 de mogelijkheid om ook de berichten zelf te beveiligen middels digitale ondertekening en/of versleuteling van het bericht (Message Level Security, MLS). Voor zowel TLS als MLS wordt gebruik gemaakt van PKIoverheid-certificaten. Deze certificaten spelen een cruciale rol bij wederzijdse authenticatie van de respectievelijke partijen en mogelijk dus ook bij het ondertekenen en/of versleutelen van de berichten die tussen hen worden uitgewisseld. In het geval van berichtenverkeer op basis van Digikoppeling beschikken dus beide partijen die bij gegevensuitwisseling zijn betrokken over digitale certificaten. Overigens kan er ook sprake zijn van gegevensuitwisseling in een keten. Dit zien we bijvoorbeeld in die gevallen waar berichtenverkeer loopt van de ene partij naar een andere via een intermediaire voorziening. Digimelding en Digipoort zijn hier voorbeelden van. In die gevallen waarbij certificaten zijn verstrekt door Diginotar, zullen de certificaten op korte termijn moeten worden vervangen. Het is overigens niet noodzakelijk dat beide partijen gebruik maken van certificaten die door een en dezelfde leverancier (Certificate Service Provider, CSP) zijn geleverd. Partij A kan gebruik maken van een door Diginotar verstrekt PKIoverheid-certificaat, terwijl partij B gebruik maakt van een PKIoverheid-certificaat dat door een andere CSP is verstrekt. Het vervangen van een certificaat door partij A zal soms ook impact hebben op de inrichting van de infrastructuur van partij B. Partij B zal namelijk vaak expliciet het certificaat van partij A gebruiken om deze al of niet te authenticeren (wie is het?) en autoriseren (wat mag hij/zij?). Pagina 4 van 12
Definitief | Implementatieplan ‘Vervangen certificaten voor Digikoppeling’ | 9 september 2011 Authenticeren en autoriseren werkt anders voor de beide standaarden, WUS en ebMS, waar Digikoppeling op is gebaseerd. WUS wordt gebruikt bij bevragingen waar snelheid cruciaal is en betrouwbaarheid hieraan ondergeschikt. EbMS wordt gebruikt bij meldingen waar betrouwbaarheid essentieel is en snelheid belangrijk maar wel hieraan ondergeschikt. WUS wisselt certificaten automatisch uit in die gevallen waarin deze gebruikt worden voor TLS (of SSL) en digitale ondertekening (signing) van berichten. Bij encryptie van berichten is dit niet het geval, maar er is nog geen overheidspartij die dit toepast (voor zover bekend). Het is daarom mogelijk dat certificaten alleen vervangen worden door de eigenaar van het certificaat, maar in een aantal gevallen is ook afgeweken van deze ideale implementatie. Het is daarom verstandig om ook de andere partij(en) het gewijzigde certificaat te verstrekken. EbMS wisselt certificaten niet automatisch uit. Deze certificaten zijn opgenomen in de CPA waarmee berichtenverkeer geconfigureerd wordt. Het is bij ebMS daarom altijd nodig om met de nieuwe certificaten ook een nieuwe CPA aan te maken en deze tussen de beide communicatiepartners uit te wisselen. 1.2 Scenario’s Denkbare scenario’s voor situaties waarbij partij A rechtstreeks communiceert met partij B (i.e. rechtstreeks berichtenverkeer zonder tussenkomst van een intermediair): 1. Partijen A en B maken beide gebruik van Diginotar-certificaten. Beide partijen moeten Diginotar-certificaten vervangen en ervoor zorgen dat: a. zij het eigen certificaat opnemen in de eigen keystore en toepassen in plaats van het Diginotar-certificaat (WUS-TLS); b. zij het eigen certificaat opnemen in de Digikoppeling-adapter en toepassen in plaats van het Diginotar-certificaat (WUSsigning); c. zij gezamenlijk met de andere partij een nieuwe CPA maken waarin de nieuwe certificaten van beide partijen zijn opgenomen en deze CPA importeren in hun Digikoppelingadapter (ebMS – zie voor meer informatie paragraaf 1.3) 1 . 1 Niet elke leverancier van Digikoppeling-adapters ondersteunt het importeren van CPA’s. In dat geval zal configuratie van de Digikoppeling-adapter en eventuele keystore en truststore moeten plaatsvinden. Overleg hierover met uw leverancier. Pagina 5 van 12
Page 1 and 2: Implementatieplan ‘Vervangen cert
Page 3: Definitief | Implementatieplan ‘V
Page 7 and 8: Definitief | Implementatieplan ‘V

Implementatieplan 'Vervangen certificaten voor Digikoppeling ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?