Deel 3a: certificate policy Overheid, Bedrijven en Organisaties - Logius
Deel 3a: certificate policy Overheid, Bedrijven en Organisaties - Logius
Deel 3a: certificate policy Overheid, Bedrijven en Organisaties - Logius
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Programma van Eis<strong>en</strong> deel <strong>3a</strong>: Certificate<br />
Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong><br />
Organisatie<br />
Datum 8 juli 2013<br />
Domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong>:<br />
Auth<strong>en</strong>ticiteit 2.16.528.1.1003.1.2.2.1<br />
Onweerlegbaarheid 2.16.528.1.1003.1.2.2.2<br />
Vertrouwelijkheid 2.16.528.1.1003.1.2.2.3<br />
Domein Organisatie:<br />
Auth<strong>en</strong>ticiteit 2.16.528.1.1003.1.2.5.1<br />
Onweerlegbaarheid 2.16.528.1.1003.1.2.5.2<br />
Vertrouwelijkheid 2.16.528.1.1003.1.2.5.3
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Colofon<br />
Versi<strong>en</strong>ummer 3.5<br />
Contactpersoon Policy Authority PKIoverheid<br />
Organisatie<br />
<strong>Logius</strong><br />
Bezoekadres<br />
Wilhelmina van Pruis<strong>en</strong>weg 52<br />
Postadres<br />
Postbus 96810<br />
2509 JE DEN HAAG<br />
T 0900 - 555 4555<br />
servicec<strong>en</strong>trum@logius.nl<br />
Pagina 2 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Inhoud<br />
Colofon ................................................................................................................... 2<br />
Inhoud .................................................................................................................... 3<br />
1 Introductie op de Certificate Policy ............................................... 7<br />
1.1 Achtergrond ............................................................................................. 7<br />
1.1.1 Opzet van de Certificate Policy ................................................. 7<br />
1.1.2 Status .................................................................................................. 8<br />
1.2 Verwijzing<strong>en</strong> naar deze CP................................................................. 8<br />
1.3 Gebruikersgeme<strong>en</strong>schap................................................................... 10<br />
1.4 Certificaatgebruik ................................................................................ 10<br />
1.5 Contactgegev<strong>en</strong>s Policy Authority ................................................. 11<br />
2 Publicatie <strong>en</strong> verantwoordelijkheid voor elektronische<br />
opslagplaats ...................................................................................................... 12<br />
2.1 Elektronische opslagplaats ............................................................... 12<br />
2.2 Publicatie van CSP-informatie......................................................... 12<br />
2.4 Toegang tot gepubliceerde informatie ......................................... 13<br />
3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie .......................................................... 14<br />
3.1 Naamgeving ........................................................................................... 14<br />
3.2 Initiële id<strong>en</strong>titeitsvalidatie ................................................................ 14<br />
3.3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij vernieuwing van het<br />
certificaat ........................................................................................................... 16<br />
4 Operationele eis<strong>en</strong> certificaatlev<strong>en</strong>scyclus ............................. 18<br />
4.4 Acceptatie van <strong>certificate</strong>n ............................................................... 18<br />
4.5 Sleutelpaar <strong>en</strong> certificaatgebruik ................................................... 18<br />
4.9 Intrekking <strong>en</strong> opschorting van <strong>certificate</strong>n ................................ 18<br />
4.10 Certificaat statusservice ................................................................ 23<br />
5 Managem<strong>en</strong>t, operationele <strong>en</strong> fysieke<br />
beveiligingsmaatregel<strong>en</strong> ........................................................................... 24<br />
5.2 Procedurele beveiliging ..................................................................... 24<br />
5.3 Personele beveiliging .......................................................................... 25<br />
5.4 Procedures t<strong>en</strong> behoeve van beveiligingsaudits ...................... 26<br />
5.5 Archivering van docum<strong>en</strong>t<strong>en</strong> .......................................................... 27<br />
5.7 Aantasting <strong>en</strong> continuïteit ................................................................ 28<br />
6 Technische beveiliging ........................................................................ 30<br />
6.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van sleutelpar<strong>en</strong> ................................ 30<br />
Pagina 3 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
6.2 Private sleutelbescherming <strong>en</strong> cryptografische module<br />
<strong>en</strong>gineering beheersmaatregel<strong>en</strong> ............................................................. 32<br />
6.3 Andere aspect<strong>en</strong> van sleutelpaarmanagem<strong>en</strong>t ........................ 34<br />
6.4 Activeringsgegev<strong>en</strong>s ........................................................................... 35<br />
6.5 Logische toegangsbeveiliging van CSP-computers ................. 36<br />
6.6 Beheersmaatregel<strong>en</strong> technische lev<strong>en</strong>scyclus .......................... 37<br />
6.7 Netwerkbeveiliging .............................................................................. 37<br />
7 Certificaat-, CRL- <strong>en</strong> OCSP-profiel<strong>en</strong>........................................... 39<br />
7.1 Certificaatprofiel<strong>en</strong> .............................................................................. 39<br />
7.2 CRL-profiel<strong>en</strong> ......................................................................................... 39<br />
7.3 OCSP-profiel<strong>en</strong> ..................................................................................... 39<br />
8 Conformiteitbeoordeling .................................................................... 40<br />
9 Algem<strong>en</strong>e <strong>en</strong> juridische bepaling<strong>en</strong> ............................................ 41<br />
9.2 Financiële verantwoordelijkheid <strong>en</strong> aansprakelijkheid .......... 41<br />
9.5 Intellectuele eig<strong>en</strong>domsrecht<strong>en</strong> ..................................................... 41<br />
9.6 Aansprakelijkheid ................................................................................ 41<br />
9.8 Beperking<strong>en</strong> van aansprakelijkheid .............................................. 43<br />
9.12 Wijziging<strong>en</strong> ......................................................................................... 43<br />
9.13 Geschill<strong>en</strong>beslechting ..................................................................... 44<br />
9.14 Van toepassing zijnde wetgeving............................................... 44<br />
9.17 Overige bepaling<strong>en</strong> ......................................................................... 44<br />
Bijlage A Profiel<strong>en</strong> <strong>certificate</strong>n <strong>en</strong> certificaat ............................... 45<br />
Bijlage B Verwijzingsmatrix .................................................................... 62<br />
10 Revisies ..................................................................................................... 86<br />
10.1 Wijziging<strong>en</strong> van versie 3.4 naar 3.5 ......................................... 86<br />
10.1.1 Aanpassing<strong>en</strong> ............................................................................. 86<br />
10.2 Wijziging<strong>en</strong> van versie 3.3 naar 3.4 ......................................... 86<br />
10.2.1 Nieuw ............................................................................................. 86<br />
10.2.2 Aanpassing<strong>en</strong> ............................................................................. 86<br />
10.2.3 redactioneel................................................................................. 86<br />
10.3 Wijziging<strong>en</strong> van versie 3.2 naar 3.3 ......................................... 86<br />
10.3.1 Nieuw ............................................................................................. 86<br />
10.3.2 Aanpassing<strong>en</strong> ............................................................................. 86<br />
10.3.3 Redactioneel ............................................................................... 86<br />
10.4 Wijziging<strong>en</strong> van versie 3.1 naar 3.2 ......................................... 86<br />
10.4.1 Nieuw ............................................................................................. 86<br />
10.4.2 Aanpassing<strong>en</strong> ............................................................................. 87<br />
10.4.3 Redactioneel ............................................................................... 87<br />
10.5 Wijziging<strong>en</strong> van versie 3.0 naar 3.1 ......................................... 87<br />
Pagina 4 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
10.5.1 Nieuw ............................................................................................. 87<br />
10.5.2 Aanpassing<strong>en</strong> ............................................................................. 87<br />
10.5.3 Redactioneel ............................................................................... 87<br />
10.6 Wijziging<strong>en</strong> van versie 2.1 naar 3.0 ......................................... 87<br />
10.6.1 Nieuw ............................................................................................. 87<br />
10.6.2 Aanpassing<strong>en</strong> ............................................................................. 87<br />
10.6.3 Redactioneel ............................................................................... 87<br />
10.7 Wijziging<strong>en</strong> van versie 2.0 naar 2.1 ......................................... 87<br />
10.7.1 Redactioneel ............................................................................... 87<br />
10.8 Wijziging<strong>en</strong> van versie 1.2 naar 2.0 ......................................... 87<br />
10.8.1 Nieuw ............................................................................................. 87<br />
10.8.2 Aanpassing<strong>en</strong> ............................................................................. 88<br />
10.8.3 Redactioneel ............................................................................... 88<br />
10.9 Wijziging<strong>en</strong> van versie 1.1 naar 1.2 ......................................... 88<br />
10.9.1 Nieuw ............................................................................................. 88<br />
10.9.2 Aanpassing<strong>en</strong> ............................................................................. 88<br />
10.9.3 Redactioneel ............................................................................... 88<br />
10.10 Wijziging<strong>en</strong> van versie 1.0 naar 1.1 ......................................... 88<br />
10.10.1 Nieuw ............................................................................................. 88<br />
10.10.2 Aanpassing<strong>en</strong> ............................................................................. 88<br />
10.10.3 Redactioneel ............................................................................... 88<br />
10.11 Versie 1.0 ............................................................................................ 88<br />
Pagina 5 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
De Policy Authority (PA) van de PKI voor de overheid ondersteunt de<br />
Minister van Binn<strong>en</strong>landse Zak<strong>en</strong> <strong>en</strong> Koninkrijksrelaties bij het beheer<br />
over de PKI voor de overheid.<br />
De PKI voor de overheid is e<strong>en</strong> afsprak<strong>en</strong>stelsel. Dit maakt g<strong>en</strong>eriek <strong>en</strong><br />
grootschalig gebruik mogelijk van de elektronische handtek<strong>en</strong>ing, <strong>en</strong><br />
faciliteert voorts id<strong>en</strong>tificatie op afstand <strong>en</strong> vertrouwelijke communicatie.<br />
De tak<strong>en</strong> van de PA PKIoverheid zijn:<br />
het lever<strong>en</strong> van bijdrag<strong>en</strong> voor de ontwikkeling <strong>en</strong> het beheer van het<br />
norm<strong>en</strong>kader dat aan de PKI voor de overheid t<strong>en</strong> grondslag ligt, het<br />
zogehet<strong>en</strong> Programma van Eis<strong>en</strong> (PvE);<br />
het proces van toetreding door Certification Service Providers (CSP's)<br />
tot de PKI voor de overheid begeleid<strong>en</strong> <strong>en</strong> voorbereid<strong>en</strong> van de<br />
afhandeling;<br />
het toezicht houd<strong>en</strong> op <strong>en</strong> controler<strong>en</strong> van de werkzaamhed<strong>en</strong> van<br />
CSP's die onder de root van de PKI voor de overheid <strong>certificate</strong>n<br />
uitgev<strong>en</strong>.<br />
De doelstelling van de Policy Authority is:<br />
Het handhav<strong>en</strong> van e<strong>en</strong> werkbaar <strong>en</strong> betrouwbaar norm<strong>en</strong>kader voor PKIdi<strong>en</strong>st<strong>en</strong><br />
dat voorziet in e<strong>en</strong> vastgesteld beveiligingsniveau voor de<br />
communicatiebehoefte van de overheid <strong>en</strong> transparant is voor de<br />
gebruikers.<br />
Revisiegegev<strong>en</strong>s<br />
Versie Datum Omschrijving<br />
1.0 09-11-2005 Vastgesteld door BZK november 2005<br />
1.1 25-01-2008 Vastgesteld door BZK januari 2008<br />
1.2 13-01-2009 Vastgesteld door BZK januari 2009<br />
2.0 09-10-2009 Vastgesteld door BZK oktober 2009<br />
2.1 11-01-2010 Wijziging<strong>en</strong> naar aanleiding van naamswijziging<br />
GBO.<strong>Overheid</strong> in <strong>Logius</strong><br />
3.0 25-01-2011 Vastgesteld door BZK januari 2011<br />
3.1 01-07-2011 Vastgesteld door BZK juni 2011<br />
3.2 27-01-2012 Vastgesteld door BZK januari 2012<br />
3.3 01-07-2012 Vastgesteld door BZK juni 2012<br />
3.4 04-02-2013 Vastgesteld door BZK januari 2013<br />
3.5 06-07-2013 Vastgesteld door BZK juli 2013<br />
Pagina 6 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
1 Introductie op de Certificate Policy<br />
1.1 Achtergrond<br />
Dit is deel <strong>3a</strong> van het Programma van Eis<strong>en</strong> (PvE) van de PKI voor de<br />
overheid <strong>en</strong> wordt aangeduid als Certificate Policy (CP). In het PvE zijn de<br />
norm<strong>en</strong> voor de PKI voor de overheid vastgelegd. Dit deel heeft<br />
betrekking op de eis<strong>en</strong> die aan de di<strong>en</strong>stverl<strong>en</strong>ing van e<strong>en</strong> Certification<br />
Service Provider (CSP) binn<strong>en</strong> de PKI voor de overheid word<strong>en</strong> gesteld.<br />
Binn<strong>en</strong> de PKI voor de overheid is onderscheid gemaakt tuss<strong>en</strong><br />
verschill<strong>en</strong>de domein<strong>en</strong>. Dit docum<strong>en</strong>t heeft uitsluit<strong>en</strong>d betrekking op de<br />
persoonsgebond<strong>en</strong> <strong>certificate</strong>n uitgegev<strong>en</strong> door CSP's in het domein<br />
<strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie.<br />
In dit hoofdstuk is e<strong>en</strong> beknopte toelichting opg<strong>en</strong>om<strong>en</strong> op de CP. E<strong>en</strong><br />
uitgebreide toelichting op de achtergrond <strong>en</strong> structuur van de PKI voor de<br />
overheid, ev<strong>en</strong>als de sam<strong>en</strong>hang tuss<strong>en</strong> de verschill<strong>en</strong>de del<strong>en</strong> uit het PvE<br />
is opg<strong>en</strong>om<strong>en</strong> in deel 1 van het PvE.<br />
Voor e<strong>en</strong> overzicht van de in dit deel gehanteerde definities <strong>en</strong> afkorting<strong>en</strong><br />
wordt verwez<strong>en</strong> naar deel 4 van het PvE.<br />
1.1.1 Opzet van de Certificate Policy<br />
Zoals in deel 1 van het PvE is aangegev<strong>en</strong> bestaan de eis<strong>en</strong> die onderdeel<br />
uitmak<strong>en</strong> van de CP uit eis<strong>en</strong> 1 :<br />
die voortkom<strong>en</strong> uit het Nederlandse wettelijke kader in relatie tot de<br />
elektronische handtek<strong>en</strong>ing;<br />
die voortkom<strong>en</strong> uit de standaard ETSI TS 101 456 waarbij gebruikt<br />
wordt gemaakt van e<strong>en</strong> SSCD (v1.4.3, 2007-05);<br />
die specifiek door <strong>en</strong> voor de PKIoverheid zijn opgesteld.<br />
In de hoofdstukk<strong>en</strong> 2 t/m 9 zijn de specifieke PKIoverheid-eis<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong>. In de onderstaande tabel is de structuur weergegev<strong>en</strong> waarin<br />
iedere PKIoverheid-eis (PKIo-eis) afzonderlijk wordt gespecificeerd.<br />
RFC 3647 Verwijzing naar de paragraaf uit de RFC 3647-<br />
structuur waarop de PKIo-eis betrekking heeft.<br />
RFC 3647 is e<strong>en</strong> PKIX raamwerk van de<br />
Internet Engineering Task Force (IETF) <strong>en</strong> is<br />
de de facto standaard voor de structuur van<br />
Certificate Policies <strong>en</strong> Certification Practice<br />
Statem<strong>en</strong>ts 2 .<br />
Nummer<br />
Uniek nummer van de PKIo-eis. Per paragraaf<br />
wordt e<strong>en</strong> doorlop<strong>en</strong>de nummering gehanteerd<br />
voor de PKIo-eis<strong>en</strong>. In combinatie met het RFC<br />
3647 paragraafnummer vormt dit e<strong>en</strong> unieke<br />
aanduiding voor de PKIo-eis.<br />
ETSI Verwijzing naar de eis(<strong>en</strong>) uit ETSI TS 101 456<br />
1 Voor e<strong>en</strong> toelichting op positionering van de binn<strong>en</strong> de PKI voor de overheid geld<strong>en</strong>de eis<strong>en</strong> wordt<br />
verwez<strong>en</strong> naar deel 1 van het PvE.<br />
2 In de hoofdstukk<strong>en</strong> 2 t/m 9 zijn alle<strong>en</strong> die paragraf<strong>en</strong> uit RFC 3647 opg<strong>en</strong>om<strong>en</strong> waarvoor e<strong>en</strong> PKIoeis<br />
van toepassing is.<br />
Pagina 7 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
waarvan de PKIo-eis is afgeleid c.q. e<strong>en</strong><br />
nadere invulling is.<br />
PKIo<br />
De PKIo-eis die binn<strong>en</strong> de PKI voor de<br />
overheid van toepassing is. Indi<strong>en</strong> in de tabel<br />
de aanduiding "PKIo-OO" is opg<strong>en</strong>om<strong>en</strong>, is de<br />
eis alle<strong>en</strong> van toepassing binn<strong>en</strong> het domein<br />
<strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie.<br />
Opmerking<br />
Bij e<strong>en</strong> aantal PKIo-eis<strong>en</strong> is, voor e<strong>en</strong> beter<br />
begrip van de context waarin de eis moet<br />
word<strong>en</strong> geplaatst, e<strong>en</strong> opmerking toegevoegd.<br />
In dit CP zijn ook e<strong>en</strong> aantal bepaling<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> die niet als PKIo-eis<br />
zijn geformuleerd. Deze bepaling<strong>en</strong> stell<strong>en</strong> ge<strong>en</strong> eis<strong>en</strong> aan de CSP's<br />
binn<strong>en</strong> de PKI voor de overheid maar zijn als beleid wel van toepassing op<br />
de PKI voor de overheid. Het betreft hier bepaling<strong>en</strong> uit de paragraf<strong>en</strong><br />
1.1, 1.1.1, 1.1.2, 1.2, 1.3, 1.4, 1.5, 8, 9.12.1, 9.12.2, 9.14 <strong>en</strong> 9.17.<br />
In bijlage A zijn de binn<strong>en</strong> de PKIoverheid gehanteerde profiel<strong>en</strong> met<br />
betrekking tot de eindgebruiker<strong>certificate</strong>n <strong>en</strong> certificaat statusinformatie<br />
opg<strong>en</strong>om<strong>en</strong>.<br />
Op basis van de hoofdstukk<strong>en</strong> 1 t/m 9 is in bijlage B e<strong>en</strong><br />
verwijzingsmatrix opg<strong>en</strong>om<strong>en</strong>. In de matrix is conform de RFC 3647<br />
structuur e<strong>en</strong> verwijzing opg<strong>en</strong>om<strong>en</strong> naar de van toepassing zijnde eis<strong>en</strong><br />
binn<strong>en</strong> de PKI voor de overheid. Hierbij is e<strong>en</strong> onderscheid gemaakt<br />
tuss<strong>en</strong> eis<strong>en</strong> afkomstig uit de Nederlandse wetgeving, eis<strong>en</strong> uit ETSI TS<br />
101 456 <strong>en</strong> de PKIo-eis<strong>en</strong>.<br />
1.1.2 Status<br />
Dit is versie 3.5 van deel <strong>3a</strong> van het PvE. De huidige versie is bijgewerkt<br />
tot <strong>en</strong> met januari 2013.<br />
De PA heeft de grootst mogelijke aandacht <strong>en</strong> zorg besteed aan de<br />
gegev<strong>en</strong>s <strong>en</strong> informatie, die zijn opg<strong>en</strong>om<strong>en</strong> in deze CP. Desalniettemin is<br />
het mogelijk dat onjuisthed<strong>en</strong> <strong>en</strong> onvolkom<strong>en</strong>hed<strong>en</strong> voorkom<strong>en</strong>. De PA<br />
aanvaardt ge<strong>en</strong> <strong>en</strong>kele aansprakelijkheid voor schade als gevolg van deze<br />
onjuisthed<strong>en</strong> of onvolkom<strong>en</strong>hed<strong>en</strong>, noch voor schade die wordt<br />
veroorzaakt door het gebruik of de verspreiding van deze CP, indi<strong>en</strong> deze<br />
CP wordt gebruikt buit<strong>en</strong> het in paragraaf 1.4 van deze CP beschrev<strong>en</strong><br />
certificaatgebruik.<br />
1.2 Verwijzing<strong>en</strong> naar deze CP<br />
Elke CP wordt uniek geïd<strong>en</strong>tificeerd door e<strong>en</strong> OID, conform het volg<strong>en</strong>de<br />
schema 3 .<br />
3 Binn<strong>en</strong> de PKI voor de overheid is er sprake van e<strong>en</strong> structuur c.q. root gebaseerd op het SHA-1<br />
algoritme <strong>en</strong> e<strong>en</strong> root gebaseerd op het SHA-256 algoritme. Verder is er, zowel voor de SHA-1 root als<br />
ook de SHA-256 root, e<strong>en</strong> indeling gemaakt in twee verschill<strong>en</strong>de domein<strong>en</strong>. Voor de SHA-1 root is<br />
sprake van de domein<strong>en</strong> <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> (deze twee domein<strong>en</strong> zijn in de loop van de tijd<br />
sam<strong>en</strong>gevoegd) <strong>en</strong> Burger. Voor de SHA-256 root is er sprake van e<strong>en</strong> domein Organisatie, e<strong>en</strong><br />
domein Burger <strong>en</strong> e<strong>en</strong> domein Autonome Apparat<strong>en</strong><br />
Pagina 8 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong><br />
OID<br />
CP<br />
2.16.528.1.1003.1.2.2.1 voor het auth<strong>en</strong>ticiteitcertificaat binn<strong>en</strong> het<br />
domein <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong>, dat de publieke<br />
sleutel bevat t<strong>en</strong> behoeve van id<strong>en</strong>tificatie <strong>en</strong><br />
auth<strong>en</strong>ticatie<br />
2.16.528.1.1003.1.2.2.2 voor het handtek<strong>en</strong>ingcertificaat binn<strong>en</strong> het<br />
domein <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong>, dat de publieke<br />
sleutel bevat t<strong>en</strong> behoeve van de<br />
gekwalificeerde elektronische<br />
handtek<strong>en</strong>ing/onweerlegbaarheid<br />
2.16.528.1.1003.1.2.2.3 voor het vertrouwelijkheidcertificaat binn<strong>en</strong><br />
het domein <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong>, dat de<br />
publieke sleutel bevat t<strong>en</strong> behoeve van<br />
vertrouwelijkheid<br />
De OID is als volgt opgebouwd: {joint-iso-itu-t (2). country (16).<br />
nederland (528). Nederlandse organisatie (1). nederlandse-overheid<br />
(1003). pki voor de overheid (1). cp (2). domein overheid <strong>en</strong> bedrijv<strong>en</strong><br />
(2). auth<strong>en</strong>ticiteit (1)/onweerlegbaarheid (2)/vertrouwelijkheid (3).<br />
versi<strong>en</strong>ummer}.<br />
Domein Organisatie<br />
OID<br />
CP<br />
2.16.528.1.1003.1.2.5.1 voor het auth<strong>en</strong>ticiteitcertificaat binn<strong>en</strong> het<br />
domein Organisatie, dat de publieke sleutel<br />
bevat t<strong>en</strong> behoeve van id<strong>en</strong>tificatie <strong>en</strong><br />
auth<strong>en</strong>ticatie<br />
2.16.528.1.1003.1.2.5.2 voor het handtek<strong>en</strong>ingcertificaat binn<strong>en</strong> het<br />
domein Organisatie, dat de publieke sleutel<br />
bevat t<strong>en</strong> behoeve van de gekwalificeerde<br />
elektronische handtek<strong>en</strong>ing/onweerlegbaarheid<br />
2.16.528.1.1003.1.2.5.3 voor het vertrouwelijkheidcertificaat binn<strong>en</strong><br />
het domein Organisatie, dat de publieke sleutel<br />
bevat t<strong>en</strong> behoeve van vertrouwelijkheid<br />
De OID is als volgt opgebouwd: {joint-iso-itu-t (2). country (16).<br />
nederland (528). Nederlandse organisatie (1). nederlandse-overheid<br />
(1003). pki voor de overheid (1). cp (2). domein organisatie (5).<br />
auth<strong>en</strong>ticiteit (1)/onweerlegbaarheid (2)/vertrouwelijkheid (3).<br />
versi<strong>en</strong>ummer}.<br />
Als eis<strong>en</strong> slechts voor één of twee typ<strong>en</strong> <strong>certificate</strong>n van toepassing zijn,<br />
dan is dat nadrukkelijk aangegev<strong>en</strong> door de Object Id<strong>en</strong>tifier (OID) te<br />
vermeld<strong>en</strong> van de van toepassing zijnde CP of CP's.<br />
Pagina 9 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
1.3 Gebruikersgeme<strong>en</strong>schap<br />
Binn<strong>en</strong> de domein<strong>en</strong> <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie bestaat de<br />
gebruikersgeme<strong>en</strong>schap uit abonnees, die organisatorische <strong>en</strong>titeit<strong>en</strong><br />
binn<strong>en</strong> overheid <strong>en</strong> bedrijfslev<strong>en</strong> zijn (zie PKIo 3.2.2-1) <strong>en</strong> uit<br />
certificaathouders, die bij deze abonnees behor<strong>en</strong>. Tev<strong>en</strong>s zijn er<br />
beroepsbeoef<strong>en</strong>aars die zowel abonnee als certificaathouder zijn.<br />
Daarnaast zijn er vertrouw<strong>en</strong>de partij<strong>en</strong>, die handel<strong>en</strong> in vertrouw<strong>en</strong> op<br />
<strong>certificate</strong>n van de betreff<strong>en</strong>de certificaathouders.<br />
De partij<strong>en</strong> binn<strong>en</strong> de gebruikersgeme<strong>en</strong>schap zijn abonnees,<br />
certificaathouders <strong>en</strong> vertrouw<strong>en</strong>de<br />
partij<strong>en</strong>.<br />
E<strong>en</strong> abonnee is natuurlijke of rechtspersoon die met e<strong>en</strong> CSP e<strong>en</strong><br />
overe<strong>en</strong>komst sluit nam<strong>en</strong>s e<strong>en</strong> of meer certificaathouders voor het<br />
lat<strong>en</strong> certificer<strong>en</strong> van de publieke sleutels. E<strong>en</strong> abonnee kan tev<strong>en</strong>s<br />
certificaathouder zijn.<br />
E<strong>en</strong> certificaathouder is e<strong>en</strong> <strong>en</strong>titeit, gek<strong>en</strong>merkt in e<strong>en</strong> certificaat als<br />
de houder van de private sleutel die is verbond<strong>en</strong> met de publieke<br />
sleutel die in het certificaat is gegev<strong>en</strong>. De certificaathouder is ofwel<br />
onderdeel van e<strong>en</strong> organisatorische <strong>en</strong>titeit waarvoor e<strong>en</strong> abonnee de<br />
contracter<strong>en</strong>de partij is (organisatiegebond<strong>en</strong> certificaathouder), ofwel<br />
de beoef<strong>en</strong>aar van e<strong>en</strong> erk<strong>en</strong>d beroep <strong>en</strong> in die hoedanigheid zelf e<strong>en</strong><br />
abonnee <strong>en</strong> daarmee de contracter<strong>en</strong>de partij (beroepsgebond<strong>en</strong><br />
certificaathouder).<br />
E<strong>en</strong> vertrouw<strong>en</strong>de partij is iedere natuurlijke of rechtspersoon die<br />
ontvanger is van e<strong>en</strong> certificaat <strong>en</strong> die handelt in vertrouw<strong>en</strong> op dat<br />
certificaat.<br />
1.4 Certificaatgebruik<br />
Het gebruik van <strong>certificate</strong>n uitgegev<strong>en</strong> onder deze CP heeft betrekking op<br />
communicatie van certificaathouders die handel<strong>en</strong> nam<strong>en</strong>s de abonnee.<br />
[OID 2.16.528.1.1003.1.2.2.1 <strong>en</strong> 2.16.528.1.1003.1.2.5.1]<br />
Auth<strong>en</strong>ticiteit<strong>certificate</strong>n, die onder deze CP word<strong>en</strong> uitgegev<strong>en</strong>, kunn<strong>en</strong><br />
word<strong>en</strong> gebruikt voor het betrouwbaar id<strong>en</strong>tificer<strong>en</strong> <strong>en</strong> auth<strong>en</strong>ticer<strong>en</strong> van<br />
person<strong>en</strong>, organisaties <strong>en</strong> middel<strong>en</strong> langs elektronische weg. Dit betreft<br />
zowel de id<strong>en</strong>tificatie van person<strong>en</strong> onderling als tuss<strong>en</strong> person<strong>en</strong> <strong>en</strong><br />
geautomatiseerde middel<strong>en</strong>.<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2]<br />
Handtek<strong>en</strong>ing<strong>certificate</strong>n, die onder deze CP word<strong>en</strong> uitgegev<strong>en</strong>, kunn<strong>en</strong><br />
word<strong>en</strong> gebruikt om elektronische handtek<strong>en</strong>ing<strong>en</strong> te verifiër<strong>en</strong>, die<br />
"dezelfde rechtsgevolg<strong>en</strong> hebb<strong>en</strong> als e<strong>en</strong> handgeschrev<strong>en</strong> handtek<strong>en</strong>ing",<br />
zoals wordt aangegev<strong>en</strong> in artikel 15a, eerste <strong>en</strong> tweede lid, in Titel 1 van<br />
Boek 3 van het Burgerlijk Wetboek onder afdeling 1A <strong>en</strong> zijn<br />
gekwalificeerde <strong>certificate</strong>n zoals bedoeld in artikel 1.1, lid ss van de<br />
Telecomwet.<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3]<br />
Vertrouwelijkheid<strong>certificate</strong>n, die onder deze CP word<strong>en</strong> uitgegev<strong>en</strong>,<br />
kunn<strong>en</strong> word<strong>en</strong> gebruikt voor het bescherm<strong>en</strong> van de vertrouwelijkheid<br />
van gegev<strong>en</strong>s, die word<strong>en</strong> uitgewisseld <strong>en</strong>/of opgeslag<strong>en</strong> in elektronische<br />
vorm. Dit betreft zowel de uitwisseling tuss<strong>en</strong> person<strong>en</strong> onderling als<br />
tuss<strong>en</strong> person<strong>en</strong> <strong>en</strong> geautomatiseerde middel<strong>en</strong>.<br />
Pagina 10 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
1.5 Contactgegev<strong>en</strong>s Policy Authority<br />
De PA is verantwoordelijk voor deze CP. Vrag<strong>en</strong> met betrekking tot deze<br />
CP kunn<strong>en</strong> word<strong>en</strong> gesteld aan de PA, waarvan het adres gevond<strong>en</strong> kan<br />
word<strong>en</strong> op: http://www.logius.nl/pkioverheid.<br />
Pagina 11 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
2 Publicatie <strong>en</strong> verantwoordelijkheid voor<br />
elektronische opslagplaats<br />
2.1 Elektronische opslagplaats<br />
RFC 3647<br />
2.1 Elektronische opslagplaats<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.5.e<br />
PKIo<br />
De maximale tijdsduur, waarbinn<strong>en</strong> de beschikbaarheid van de dissemination<br />
service moet word<strong>en</strong> hersteld, is gesteld op 24 uur.<br />
RFC 3647<br />
2.1 Elektronische opslagplaats<br />
Nummer 2<br />
ETSI<br />
QCP 7.3.1.b<br />
QCP 7.3.4.b<br />
QCP 7.3.5.f<br />
PKIo<br />
Het is verplicht dat er e<strong>en</strong> elektronische opslagplaats is waar de informatie<br />
zoals g<strong>en</strong>oemd in [2.2] wordt gepubliceerd. Deze opslagplaats kan word<strong>en</strong><br />
beheerd door de CSP of door e<strong>en</strong> afzonderlijke organisatie.<br />
Opmerking De informatie die moet word<strong>en</strong> gepubliceerd is opg<strong>en</strong>om<strong>en</strong> in ETSI TS 101<br />
456. De relevante artikel<strong>en</strong> waar de informatie is gespecificeerd zijn te vind<strong>en</strong><br />
in de verwijzingsmatrix in bijlage B.<br />
2.2 Publicatie van CSP-informatie<br />
RFC 3647<br />
2.2 Publicatie van CSP-informatie<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.1.b<br />
PKIo<br />
Het CPS di<strong>en</strong>t in het Nederlands te zijn opgesteld.<br />
RFC 3647<br />
2.2 Publicatie van CSP-informatie<br />
Nummer 2<br />
ETSI<br />
QCP 5.2.b<br />
Pagina 12 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
PKIo<br />
De CSP di<strong>en</strong>t de OID's van de toegepaste CP's op te nem<strong>en</strong> in het CPS.<br />
RFC 3647<br />
2.2 Publicatie van CSP-informatie<br />
Nummer 3<br />
ETSI<br />
QCP 7.3.1.b<br />
PKIo<br />
Alle informatie zal in het Nederlands beschikbaar moet<strong>en</strong> zijn.<br />
2.4 Toegang tot gepubliceerde informatie<br />
RFC 3647<br />
2.4 Toegang tot gepubliceerde informatie<br />
Nummer 1<br />
ETSI<br />
QCP 7.1.c<br />
PKIo<br />
Het CPS van e<strong>en</strong> Certification Service Provider binn<strong>en</strong> de PKIoverheid di<strong>en</strong>t<br />
voor e<strong>en</strong> ieder raadpleegbaar te zijn.<br />
Opmerking<br />
Met e<strong>en</strong> ieder wordt bedoeld dat, naast de abonnees <strong>en</strong> certificaathouders,<br />
iedere pot<strong>en</strong>tiële vertrouw<strong>en</strong>de partij het CPS moet kunn<strong>en</strong> raadpleg<strong>en</strong>.<br />
Pagina 13 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie<br />
3.1 Naamgeving<br />
RFC 3647<br />
3.1.1 Soort<strong>en</strong> naamformat<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.3.3.a<br />
QCP 7.3.6.g<br />
PKIo<br />
De CSP di<strong>en</strong>t te voldo<strong>en</strong> aan de eis<strong>en</strong> die aan naamformat<strong>en</strong> zijn gesteld in<br />
het Programma van Eis<strong>en</strong>, deel 3 – bijlage A Certificaat-, CRL- <strong>en</strong> OCSPprofiel<strong>en</strong>.<br />
Opmerking<br />
In bijlage A is e<strong>en</strong> toelichting op de verschill<strong>en</strong>de profiel<strong>en</strong> <strong>en</strong> toegestane<br />
naamformat<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>.<br />
RFC 3647<br />
3.1.3 Anonimiteit of pseudonimiteit van certificaathouders<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.3.a<br />
QCP 7.3.6.g<br />
PKIo-OO<br />
Het gebruik van pseudoniem<strong>en</strong> in <strong>certificate</strong>n is niet toegestaan.<br />
3.2 Initiële id<strong>en</strong>titeitsvalidatie<br />
RFC 3647<br />
3.2.2 Auth<strong>en</strong>ticatie van organisatorische <strong>en</strong>titeit<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.1.e<br />
PKIo-OO<br />
De CSP di<strong>en</strong>t – bij organisatiegebond<strong>en</strong> <strong>certificate</strong>n – te verifiër<strong>en</strong> dat de<br />
abonnee e<strong>en</strong> bestaande organisatie is.<br />
RFC 3647<br />
3.2.2 Auth<strong>en</strong>ticatie van organisatorische <strong>en</strong>titeit<br />
Nummer 2<br />
ETSI<br />
QCP 7.3.1.e<br />
PKIo-OO<br />
De CSP di<strong>en</strong>t – bij organisatiegebond<strong>en</strong> <strong>certificate</strong>n – te verifiër<strong>en</strong> dat de door<br />
de abonnee aangemelde organisati<strong>en</strong>aam die in het certificaat wordt<br />
Pagina 14 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
opg<strong>en</strong>om<strong>en</strong> juist <strong>en</strong> volledig is.<br />
RFC 3647<br />
3.2.3 Auth<strong>en</strong>ticatie van persoonlijke id<strong>en</strong>titeit<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.1.e<br />
PKIo<br />
Bij zowel organisatie- als ook beroepsgebond<strong>en</strong> <strong>certificate</strong>n di<strong>en</strong>t de CSP te<br />
verifiër<strong>en</strong> dat de door de certificaathouder aangemelde volledige naam die in<br />
het certificaat wordt opg<strong>en</strong>om<strong>en</strong> juist <strong>en</strong> volledig is, met inbegrip van<br />
achternaam, eerste voornaam, initial<strong>en</strong> of overige voorna(a)m(<strong>en</strong>) (indi<strong>en</strong> van<br />
toepassing) <strong>en</strong> tuss<strong>en</strong>voegsels (indi<strong>en</strong> van toepassing).<br />
RFC 3647<br />
3.2.5 Autorisatie van de certificaathouder<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.1.e<br />
PKIo-OO<br />
Bij organisatiegebond<strong>en</strong> certificaathouders di<strong>en</strong>t de CSP te controler<strong>en</strong> dat:<br />
het bewijs, dat de certificaathouder geautoriseerd is nam<strong>en</strong>s de abonnee<br />
om e<strong>en</strong> certificaat te ontvang<strong>en</strong>, auth<strong>en</strong>tiek is;<br />
de in dit bewijs g<strong>en</strong>oemde naam <strong>en</strong> id<strong>en</strong>titeitsk<strong>en</strong>merk<strong>en</strong> overe<strong>en</strong>kom<strong>en</strong><br />
met de onder 3.2.3 vastgestelde id<strong>en</strong>titeit van de certificaathouder.<br />
Bij beroepsgebond<strong>en</strong> certificaathouders di<strong>en</strong>t de CSP te controler<strong>en</strong> dat:<br />
het bewijs, dat de certificaathouder geautoriseerd is het erk<strong>en</strong>de beroep<br />
uit te oef<strong>en</strong><strong>en</strong>, auth<strong>en</strong>tiek is;<br />
de in dit bewijs g<strong>en</strong>oemde naam <strong>en</strong> id<strong>en</strong>titeitsk<strong>en</strong>merk<strong>en</strong> overe<strong>en</strong>kom<strong>en</strong><br />
met de onder 3.2.3 vastgestelde id<strong>en</strong>titeit van de certificaathouder.<br />
Opmerking<br />
Als auth<strong>en</strong>tiek bewijs voor het uitoef<strong>en</strong><strong>en</strong> van e<strong>en</strong> erk<strong>en</strong>d beroep wordt alle<strong>en</strong><br />
beschouwd:<br />
a. ofwel e<strong>en</strong> geldig bewijs van inschrijving in e<strong>en</strong> door de betreff<strong>en</strong>de<br />
beroepsgroep erk<strong>en</strong>d (beroeps)register waarbij e<strong>en</strong> wettelijk geregeld<br />
tuchtrecht van toepassing is;<br />
b. ofwel e<strong>en</strong> b<strong>en</strong>oeming door e<strong>en</strong> Minister;<br />
c. ofwel e<strong>en</strong> geldig bewijs (b.v. e<strong>en</strong> vergunning) dat aan de wettelijke eis<strong>en</strong><br />
voor het uitoef<strong>en</strong><strong>en</strong> van het beroep wordt voldaan.<br />
Onder geldig bewijs wordt verstaan e<strong>en</strong> bewijs dat niet is verlop<strong>en</strong> of (tijdelijk<br />
of voorlopig is) ingetrokk<strong>en</strong>.<br />
In PvE deel 4 staat e<strong>en</strong> limitatieve lijst met onder a <strong>en</strong> b bedoelde beroep<strong>en</strong>.<br />
In de verwijzingsmatrix in bijlage B is e<strong>en</strong> verwijzing naar alle eis<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> die betrekking hebb<strong>en</strong> op paragraaf 3.2.3.<br />
RFC 3647<br />
3.2.5 Autorisatie van de certificaathouder<br />
Pagina 15 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nummer 2<br />
ETSI<br />
QCP 6.2.g<br />
PKIo-OO<br />
Abonnee is e<strong>en</strong> rechtspersoon (organisatiegebond<strong>en</strong> <strong>certificate</strong>n):<br />
In de overe<strong>en</strong>komst die de CSP sluit met de abonnee di<strong>en</strong>t te zijn opg<strong>en</strong>om<strong>en</strong><br />
dat de abonnee de verantwoordelijkheid heeft om, als er relevante wijziging<strong>en</strong><br />
plaats hebb<strong>en</strong> in de relatie tuss<strong>en</strong> abonnee <strong>en</strong> certificaathouder, deze<br />
onmiddellijk aan de CSP k<strong>en</strong>baar te mak<strong>en</strong> door middel van e<strong>en</strong><br />
intrekkingsverzoek. Relevante wijziging<strong>en</strong> kunn<strong>en</strong> in dit verband bijvoorbeeld<br />
beëindiging van het di<strong>en</strong>stverband <strong>en</strong> schorsing zijn.<br />
Abonnee is e<strong>en</strong> natuurlijk persoon (beroepsgebond<strong>en</strong> <strong>certificate</strong>n):<br />
In de overe<strong>en</strong>komst die de CSP sluit met de abonnee di<strong>en</strong>t te zijn opg<strong>en</strong>om<strong>en</strong><br />
dat de abonnee de verantwoordelijkheid heeft om, als er relevante wijziging<strong>en</strong><br />
plaats hebb<strong>en</strong> gevond<strong>en</strong>, deze onmiddellijk aan de CSP k<strong>en</strong>baar te mak<strong>en</strong> door<br />
middel van e<strong>en</strong> intrekkingsverzoek. E<strong>en</strong> relevante wijziging in dit verband is in<br />
ieder geval het niet langer beschikk<strong>en</strong> over e<strong>en</strong> geldig bewijs zoals aangegev<strong>en</strong><br />
bij PKI-OO 3.2.5-1.<br />
3.3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij vernieuwing van het<br />
certificaat<br />
RFC 3647<br />
3.3.1 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij routinematige vernieuwing van het certificaat<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.2.d<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3] QCP 7.3.2.d is van<br />
toepassing.<br />
Opmerking<br />
In QCP 7.3.2.d. wordt aangegev<strong>en</strong> onder welke voorwaard<strong>en</strong> hercertificering<br />
van sleutels is toegestaan.<br />
RFC 3647<br />
3.3.1 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij routinematige vernieuwing van het certificaat<br />
Nummer 2<br />
ETSI<br />
QCP 7.3.2.d<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.1 <strong>en</strong> 2.16.528.1.1003.1.2.5.1] <strong>en</strong> [OID<br />
2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2] QCP 7.3.2.d is niet van<br />
toepassing.<br />
Opmerking<br />
De eis houdt in dat certificaatvernieuwing zonder vernieuwing van de sleutels<br />
niet is toegestaan voor het auth<strong>en</strong>ticiteit- <strong>en</strong> handtek<strong>en</strong>ingcertificaat.<br />
Pagina 16 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
RFC 3647<br />
3.3.1 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij routinematige vernieuwing van het<br />
certificaat<br />
Nummer 3<br />
ETSI<br />
QCP 7.3.2.a<br />
QCP 7.3.2.c<br />
PKIo<br />
Het vernieuw<strong>en</strong> van <strong>certificate</strong>n di<strong>en</strong>t altijd vooraf te zijn gegaan door e<strong>en</strong><br />
controle of aan alle eis<strong>en</strong> die onder [3.1] <strong>en</strong> [3.2] zijn gesteld, is voldaan.<br />
Opmerking<br />
De relevante artikel<strong>en</strong> waarin de eis<strong>en</strong> zijn gespecificeerd zijn te vind<strong>en</strong> in de<br />
verwijzingsmatrix in bijlage B.<br />
RFC 3647<br />
3.3.2 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij vernieuwing van het certificaat na intrekking<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.2.d<br />
PKIo<br />
Na intrekking van het certificaat mog<strong>en</strong> de desbetreff<strong>en</strong>de sleutels niet opnieuw<br />
word<strong>en</strong> gecertificeerd. QCP 7.3.2.d is niet van toepassing.<br />
Pagina 17 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
4 Operationele eis<strong>en</strong> certificaatlev<strong>en</strong>scyclus<br />
4.4 Acceptatie van <strong>certificate</strong>n<br />
RFC 3647<br />
4.4.1 Activiteit<strong>en</strong> bij acceptatie van <strong>certificate</strong>n<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.1.i<br />
PKIo<br />
Na uitgifte van e<strong>en</strong> certificaat, di<strong>en</strong>t de certificaathouder expliciet de<br />
overhandiging van het sleutelmateriaal behor<strong>en</strong>d bij het certificaat aan de CSP<br />
te bevestig<strong>en</strong>.<br />
4.5 Sleutelpaar <strong>en</strong> certificaatgebruik<br />
RFC 3647<br />
4.5.2 Gebruik van publieke sleutel <strong>en</strong> certificaat door vertrouw<strong>en</strong>de partij<br />
Nummer 1<br />
ETSI<br />
QCP 6.3.a<br />
PKIo<br />
In de gebruikersvoorwaard<strong>en</strong> die aan de vertrouw<strong>en</strong>de partij<strong>en</strong> ter beschikking<br />
word<strong>en</strong> gesteld di<strong>en</strong>t te word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> dat de vertrouw<strong>en</strong>de partij wordt<br />
geacht de geldigheid te controler<strong>en</strong> van de volledige ket<strong>en</strong> van <strong>certificate</strong>n tot<br />
aan de bron (stamcertificaat) waarop wordt vertrouwd.<br />
Daarnaast di<strong>en</strong>t te word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> dat de abonnee zelf zorg draagt voor<br />
e<strong>en</strong> tijdige vervanging in het geval van e<strong>en</strong> nader<strong>en</strong>de afloop geldigheid, <strong>en</strong><br />
noodvervanging in geval van compromittatie <strong>en</strong>/of andere soort<strong>en</strong> van<br />
calamiteit<strong>en</strong> met betrekking tot het certificaat of van bov<strong>en</strong>ligg<strong>en</strong>de<br />
<strong>certificate</strong>n. Van de abonnee wordt verwacht dat hij zelf adequate maatregel<strong>en</strong><br />
neemt om de continuïteit van het gebruik van <strong>certificate</strong>n te borg<strong>en</strong>.<br />
Opmerking<br />
De geldigheid van e<strong>en</strong> certificaat di<strong>en</strong>t niet verward te word<strong>en</strong> met de<br />
bevoegdheid van de certificaathouder e<strong>en</strong> bepaalde transactie nam<strong>en</strong>s e<strong>en</strong><br />
organisatie c.q. uit hoofde van zijn of haar beroep te do<strong>en</strong>. De PKI voor de<br />
overheid regelt ge<strong>en</strong> autorisatie; daarvan moet e<strong>en</strong> vertrouw<strong>en</strong>de partij<br />
zichzelf op andere wijze overtuig<strong>en</strong>.<br />
4.9 Intrekking <strong>en</strong> opschorting van <strong>certificate</strong>n<br />
RFC 3647<br />
4.9.1 Omstandighed<strong>en</strong> die leid<strong>en</strong> tot intrekking<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.a<br />
PKIo-OO<br />
Certificat<strong>en</strong> zull<strong>en</strong> word<strong>en</strong> ingetrokk<strong>en</strong> wanneer:<br />
Pagina 18 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
de abonnee aangeeft dat het oorspronkelijke verzoek voor e<strong>en</strong> certificaat<br />
niet was toegestaan <strong>en</strong> de abonnee verle<strong>en</strong>t met terugwerk<strong>en</strong>de kracht<br />
ook ge<strong>en</strong> toestemming;<br />
de CSP beschikt over voldo<strong>en</strong>de bewijs dat de privésleutel van de<br />
abonnee (die overe<strong>en</strong>komt met de publieke sleutel in het certificaat) is<br />
aangetast of er is het vermoed<strong>en</strong> van compromittatie, of er is sprake van<br />
inher<strong>en</strong>te beveiligingszwakheid, of dat het certificaat op e<strong>en</strong> andere wijze<br />
is misbruikt. E<strong>en</strong> sleutel wordt als aangetast beschouwd in geval van<br />
ongeautoriseerde toegang of vermoede ongeautoriseerde toegang tot de<br />
private sleutel, verlor<strong>en</strong> of vermoedelijk verlor<strong>en</strong> private sleutel of SSCD,<br />
gestol<strong>en</strong> of vermoedelijk gestol<strong>en</strong> sleutel of SSCD of vernietigde sleutel of<br />
SSCD;<br />
e<strong>en</strong> abonnee niet aan zijn verplichting<strong>en</strong> voldoet zoals verwoord in deze<br />
CP of het bijbehor<strong>en</strong>de CPS van de CSP of de overe<strong>en</strong>komst die de CSP<br />
met de abonnee heeft afgeslot<strong>en</strong>;<br />
de CSP op de hoogte wordt gesteld of anderszins zich bewust wordt van<br />
e<strong>en</strong> wez<strong>en</strong>lijke verandering in de informatie, die in het certificaat staat.<br />
Voorbeeld daarvan is: verandering van de naam van de certificaathouder;<br />
de CSP bepaald dat het certificaat niet is uitgegev<strong>en</strong> in overe<strong>en</strong>stemming<br />
met deze CP of het bijbehor<strong>en</strong>de CPS van de CSP of de overe<strong>en</strong>komst die<br />
de CSP met de abonnee heeft geslot<strong>en</strong>;<br />
de CSP bepaald dat informatie in het certificaat niet juist of misleid<strong>en</strong>d is;<br />
de CSP haar werkzaamhed<strong>en</strong> staakt <strong>en</strong> de CRL <strong>en</strong> OCSP di<strong>en</strong>stverl<strong>en</strong>ing<br />
niet wordt overg<strong>en</strong>om<strong>en</strong> door e<strong>en</strong> andere CSP.<br />
De PA van PKIoverheid vaststelt dat de technische inhoud van het<br />
certificaat e<strong>en</strong> onverantwoord risico met zich meebr<strong>en</strong>gt voor abonnees,<br />
vertrouw<strong>en</strong>de partij<strong>en</strong> <strong>en</strong> derd<strong>en</strong> (b.v. browserpartij<strong>en</strong>).<br />
Opmerking<br />
Daarnaast kunn<strong>en</strong> <strong>certificate</strong>n word<strong>en</strong> ingetrokk<strong>en</strong> als maatregel om e<strong>en</strong><br />
calamiteit te voorkom<strong>en</strong>, c.q. te bestrijd<strong>en</strong>. Als calamiteit wordt zeker de<br />
aantasting of verme<strong>en</strong>de aantasting van de private sleutel van de CSP<br />
waarmee <strong>certificate</strong>n word<strong>en</strong> ondertek<strong>en</strong>d, beschouwd.<br />
RFC 3647<br />
4.9.2 Wie mag e<strong>en</strong> verzoek tot intrekking do<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.a<br />
PKIo-OO<br />
De volg<strong>en</strong>de partij<strong>en</strong> mog<strong>en</strong> e<strong>en</strong> verzoek tot intrekking van e<strong>en</strong><br />
eindgebruikercertificaat do<strong>en</strong>:<br />
de certificaathouder;<br />
de abonnee;<br />
de CSP;<br />
ieder andere, naar het oordeel van de CSP, belanghebb<strong>en</strong>de<br />
partij/persoon.<br />
RFC 3647<br />
4.9.3 Procedure voor e<strong>en</strong> verzoek tot intrekking<br />
Nummer 1<br />
Pagina 19 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
ETSI<br />
QCP 7.3.6.a<br />
PKIo<br />
De CSP mag additionele eis<strong>en</strong> stell<strong>en</strong> aan e<strong>en</strong> intrekkingsverzoek. Deze<br />
additionele eis<strong>en</strong> moet<strong>en</strong> in de CPS van de CSP word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>.<br />
RFC 3647<br />
4.9.3 Procedure voor e<strong>en</strong> verzoek tot intrekking<br />
Nummer 2<br />
ETSI<br />
QCP 7.3.6.h<br />
PKIo<br />
De maximale tijdsduur, waarbinn<strong>en</strong> de beschikbaarheid van de revocation<br />
managem<strong>en</strong>t services moet word<strong>en</strong> hersteld, is gesteld op vier uur.<br />
RFC 3647<br />
4.9.3 Procedure voor e<strong>en</strong> verzoek tot intrekking<br />
Nummer 3<br />
ETSI<br />
QCP 7.3.6.a<br />
PKIo<br />
De CSP moet de beweegred<strong>en</strong> voor de intrekking van e<strong>en</strong> certificaat<br />
vastlegg<strong>en</strong>, indi<strong>en</strong> de intrekking geïnitieerd is door de CSP.<br />
RFC 3647<br />
4.9.3 Procedure voor e<strong>en</strong> verzoek tot intrekking<br />
Nummer 4<br />
ETSI QCP 7.3.6.i (<strong>en</strong> BEH artikel 2 lid 1l)<br />
PKIo<br />
De CSP moet in ieder geval gebruik mak<strong>en</strong> van e<strong>en</strong> CRL om de<br />
certificaatstatus informatie beschikbaar te stell<strong>en</strong>.<br />
RFC 3647<br />
4.9.5 Tijdsduur voor verwerking intrekkingsverzoek<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.a<br />
PKIo<br />
De maximale vertraging tuss<strong>en</strong> de ontvangst van e<strong>en</strong> intrekkingsverzoek of<br />
intrekkingsrapportage <strong>en</strong> de wijziging van de revocation status information,<br />
die voor alle vertrouw<strong>en</strong>de partij<strong>en</strong> beschikbaar is, is gesteld op vier uur.<br />
Opmerking<br />
Deze eis is van toepassing op alle typ<strong>en</strong> certificaat statusinformatie (CRL <strong>en</strong><br />
OCSP)<br />
Pagina 20 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
RFC 3647<br />
4.9.6 Controlevoorwaard<strong>en</strong> bij raadpleg<strong>en</strong> certificaat statusinformatie<br />
Nummer 1<br />
ETSI<br />
QCP 6.3.a<br />
PKIo<br />
E<strong>en</strong> eindgebruiker die de certificaat statusinformatie raadpleegt, di<strong>en</strong>t de<br />
auth<strong>en</strong>ticiteit van deze informatie te verifiër<strong>en</strong> door de elektronische<br />
handtek<strong>en</strong>ing waarmee de informatie is getek<strong>en</strong>d <strong>en</strong> het bijbehor<strong>en</strong>de<br />
certificatiepad te controler<strong>en</strong>.<br />
RFC 3647<br />
4.9.6 Controlevoorwaard<strong>en</strong> bij raadpleg<strong>en</strong> certificaat statusinformatie<br />
Nummer 2<br />
ETSI<br />
QCP 6.3.a<br />
PKIo<br />
De in [4.9.6-1] g<strong>en</strong>oemde verplichting di<strong>en</strong>t door de CSP te word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> in de gebruikersvoorwaard<strong>en</strong> die ter beschikking word<strong>en</strong> gesteld<br />
aan de vertrouw<strong>en</strong>de partij<strong>en</strong>.<br />
RFC 3647<br />
4.9.7 CRL-uitgiftefrequ<strong>en</strong>tie<br />
Nummer 1<br />
ETSI QCP 7.3.6<br />
PKIo<br />
De CSP moet de CRL t<strong>en</strong> behoeve van eindgebruiker <strong>certificate</strong>n t<strong>en</strong>minste e<strong>en</strong><br />
keer in de 7 kal<strong>en</strong>derdag<strong>en</strong> bijwerk<strong>en</strong> <strong>en</strong> opnieuw uitgev<strong>en</strong> <strong>en</strong> de datum van<br />
het veld “ Volg<strong>en</strong>de update” mag niet meer dan 10 kal<strong>en</strong>derdag<strong>en</strong> zijn na de<br />
datum van het veld “Ingangsdatum”.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
De revocation managem<strong>en</strong>t services van de CSP kunn<strong>en</strong> als aanvulling op de<br />
publicatie van CRL informatie het Online Certificate Status Protocol (OCSP)<br />
ondersteun<strong>en</strong>. Indi<strong>en</strong> deze ondersteuning aanwezig is moet deze in het CPS<br />
word<strong>en</strong> vermeld.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 2<br />
Pagina 21 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
Indi<strong>en</strong> de CSP het Online Certificate Status Protocol (OCSP) ondersteunt,<br />
di<strong>en</strong>t dit te gebeur<strong>en</strong> in overe<strong>en</strong>stemming met IETF RFC 2560.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 3<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
Ter verbijzondering van het in IETF RFC 2560 gestelde di<strong>en</strong><strong>en</strong> OCSP responses<br />
digitaal te word<strong>en</strong> ondertek<strong>en</strong>d door ofwel:<br />
de private (CA) sleutel waarmee ook het certificaat is ondertek<strong>en</strong>d waarvan<br />
de status wordt gevraagd;<br />
e<strong>en</strong> door de CSP aangewez<strong>en</strong> responder die beschikt over e<strong>en</strong> OCSP-<br />
Signing certificaat dat voor dit doel is uitgegev<strong>en</strong> door de CSP;<br />
e<strong>en</strong> responder die beschikt over e<strong>en</strong> OCSP-Signing certificaat dat valt<br />
binn<strong>en</strong> de hiërarchie van de PKI voor de overheid.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 4<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
Ter verbijzondering van het in IETF RFC 2560 gestelde is het gebruikt van<br />
vooraf berek<strong>en</strong>de OCSP responses (precomputed responses) niet toegestaan.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 5<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
Indi<strong>en</strong> de CSP OCSP ondersteunt, di<strong>en</strong>t de informatie die wordt verstrekt<br />
middels OCSP t<strong>en</strong> minste ev<strong>en</strong> actueel <strong>en</strong> betrouwbaar te zijn als de<br />
informatie die wordt gepubliceerd door middel van e<strong>en</strong> CRL, gedur<strong>en</strong>de de<br />
geldigheid van het afgegev<strong>en</strong> certificaat <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> tot t<strong>en</strong> minste zes<br />
maand<strong>en</strong> na het tijdstip waarop de geldigheid van het certificaat is verlop<strong>en</strong><br />
of, indi<strong>en</strong> dat tijdstip eerder valt, na het tijdstip waarop de geldigheid is<br />
beëindigd door intrekking.<br />
RFC 3647<br />
4.9.9 Online intrekking/statuscontrole<br />
Nummer 6<br />
Pagina 22 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
Indi<strong>en</strong> de CSP OCSP ondersteunt, moet de CSP de OCSP service t<strong>en</strong>minste e<strong>en</strong><br />
keer in de 4 kal<strong>en</strong>derdag<strong>en</strong> bijwerk<strong>en</strong>. De maximale vervaltermijn van de OCSP<br />
responses is 10 kal<strong>en</strong>derdag<strong>en</strong>.<br />
RFC 3647<br />
4.9.13 Omstandighed<strong>en</strong> die leid<strong>en</strong> tot opschorting<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.d<br />
PKIo<br />
Het is niet toegestaan om certificaatopschorting te ondersteun<strong>en</strong>.<br />
4.10 Certificaat statusservice<br />
RFC 3647<br />
4.10.2 Beschikbaarheid certificaat statusservice<br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.i<br />
PKIo<br />
De maximale tijdsduur, waarbinn<strong>en</strong> de beschikbaarheid van de revocation<br />
status information moet word<strong>en</strong> hersteld, is gesteld op vier uur.<br />
Opmerking<br />
Deze eis is alle<strong>en</strong> van toepassing op de CRL <strong>en</strong> niet op andere mechanism<strong>en</strong><br />
zoals OCSP.<br />
Pagina 23 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
5 Managem<strong>en</strong>t, operationele <strong>en</strong> fysieke<br />
beveiligingsmaatregel<strong>en</strong><br />
5.2 Procedurele beveiliging<br />
RFC 3647<br />
5.2.4 Roll<strong>en</strong> die functiescheiding behoev<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.4.3.d <strong>en</strong> 7.4.3.h<br />
PKIo<br />
De CSP di<strong>en</strong>t functiescheiding te handhav<strong>en</strong> tuss<strong>en</strong> t<strong>en</strong>minste de volg<strong>en</strong>de<br />
functies:<br />
Security officer<br />
De security officer ziet toe op de implem<strong>en</strong>tatie <strong>en</strong> naleving van de<br />
vastgestelde beveiligingsrichtlijn<strong>en</strong>.<br />
Systeem auditor<br />
De systeem auditor vervult e<strong>en</strong> toezichthoud<strong>en</strong>de rol <strong>en</strong> geeft e<strong>en</strong><br />
onafhankelijk oordeel over de wijze waarop de bedrijfsprocess<strong>en</strong> zijn<br />
ingericht <strong>en</strong> over de wijze waarop aan de eis<strong>en</strong> t<strong>en</strong> aanzi<strong>en</strong> van de<br />
betrouwbaarheid is voldaan.<br />
Systeembeheerder<br />
De systeembeheerder beheert de CSP-system<strong>en</strong>, waarbij het installer<strong>en</strong>,<br />
configurer<strong>en</strong> <strong>en</strong> onderhoud<strong>en</strong> van de system<strong>en</strong> is inbegrep<strong>en</strong>.<br />
CSP-operators<br />
De CSP-operators zijn verantwoordelijk voor het dagelijks bedi<strong>en</strong><strong>en</strong> van<br />
de CSP-system<strong>en</strong> voor onder meer registratie, het g<strong>en</strong>erer<strong>en</strong> van<br />
<strong>certificate</strong>n, het lever<strong>en</strong> van e<strong>en</strong> SSCD aan de certificaathouder <strong>en</strong><br />
revocation managem<strong>en</strong>t.<br />
Opmerking<br />
De hierbov<strong>en</strong> g<strong>en</strong>oemde functieomschrijving<strong>en</strong> zijn niet limitatief <strong>en</strong> het staat<br />
de CSP vrij om binn<strong>en</strong> de eis<strong>en</strong> van functiescheiding de omschrijving uit te<br />
breid<strong>en</strong> of de functies verder op te splits<strong>en</strong> of te verdel<strong>en</strong> tuss<strong>en</strong> andere<br />
vertrouwde functionariss<strong>en</strong>.<br />
RFC 3647<br />
5.2.4 Roll<strong>en</strong> die functiescheiding behoev<strong>en</strong><br />
Nummer 2<br />
ETSI<br />
QCP 7.4.3.d <strong>en</strong> 7.4.3.h<br />
PKIo<br />
De CSP di<strong>en</strong>t functiescheiding te handhav<strong>en</strong> tuss<strong>en</strong> medewerkers die de<br />
uitgifte van e<strong>en</strong> certificaat controler<strong>en</strong> <strong>en</strong> medewerkers die de uitgifte van e<strong>en</strong><br />
certificaat goedkeur<strong>en</strong>.<br />
RFC 3647<br />
5.2.5 Beheer <strong>en</strong> beveiliging<br />
Nummer 1<br />
Pagina 24 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
ETSI<br />
QCP 7.4.1.a<br />
QCP 7.4.5<br />
PKIo<br />
De CSP moet de risicoanalyse minimaal jaarlijks, of als de PA daartoe opdracht<br />
geeft, of het NCSC daartoe advies geeft, opnieuw uitvoer<strong>en</strong>. De risicoanalyse<br />
moet alle PKIoverheid process<strong>en</strong> rak<strong>en</strong> die onder de verantwoordelijkheid van<br />
de CSP vall<strong>en</strong>.<br />
Op basis van de risicoanalyse moet de CSP e<strong>en</strong> informatiebeveiligingsplan<br />
ontwikkel<strong>en</strong>, implem<strong>en</strong>ter<strong>en</strong>, onderhoud<strong>en</strong>, handhav<strong>en</strong> <strong>en</strong> evaluer<strong>en</strong>. Dit plan<br />
beschrijft e<strong>en</strong> sam<strong>en</strong>hang<strong>en</strong>d geheel van pass<strong>en</strong>de administratieve,<br />
organisatorische, technische <strong>en</strong> fysieke maatregel<strong>en</strong> <strong>en</strong> procedures waarmee<br />
de CSP de beschikbaarheid, exclusiviteit <strong>en</strong> integriteit van alle PKIoverheid<br />
process<strong>en</strong>, aanvrag<strong>en</strong> <strong>en</strong> de gegev<strong>en</strong>s die daarvoor word<strong>en</strong> gebruikt,<br />
waarborgt.<br />
RFC 3647<br />
5.2.5 Beheer <strong>en</strong> beveiliging<br />
Nummer 2<br />
ETSI<br />
QCP 7.4.1.b<br />
PKIo<br />
Naast e<strong>en</strong> audit uitgevoerd door e<strong>en</strong> geaccrediteerd auditor MAG de CSP e<strong>en</strong><br />
audit uitvoer<strong>en</strong> bij zijn externe leveranciers van PKIoverheid kerndi<strong>en</strong>st<strong>en</strong> om<br />
zich ervan te verwittig<strong>en</strong> dat deze leveranciers de relevante eis<strong>en</strong> van het PVE<br />
van PKIoverheid conform de w<strong>en</strong>s<strong>en</strong> van de CSP <strong>en</strong> rek<strong>en</strong>ing houd<strong>en</strong>d met zijn<br />
bedrijfsdoelstelling<strong>en</strong>, -process<strong>en</strong> <strong>en</strong> -infrastructuur hebb<strong>en</strong> geïmplem<strong>en</strong>teerd<br />
<strong>en</strong> geoperationaliseerd.<br />
De CSP is vrij in de keuze om zelf e<strong>en</strong> eig<strong>en</strong> audit uit te (lat<strong>en</strong>) voer<strong>en</strong> dan wel<br />
gebruik te gaan mak<strong>en</strong> van reeds bestaande audit resultat<strong>en</strong> zoals die van de<br />
formele certificeringsaudits, de diverse interne <strong>en</strong> externe audits, Third party<br />
mededeling<strong>en</strong> (TPM's) <strong>en</strong> (buit<strong>en</strong>landse) compliancy rapportages.<br />
Ook is de CSP gerechtigd om inzage te verkrijg<strong>en</strong> in het onderligg<strong>en</strong>de<br />
bewijsmateriaal zoals audit dossiers <strong>en</strong> overige, al dan niet systeem-,<br />
docum<strong>en</strong>tatie.<br />
Uiteraard beperkt zich het bov<strong>en</strong>staande tot de bij de leveranciers gehoste<br />
CSP-process<strong>en</strong>, -system<strong>en</strong> <strong>en</strong> –infrastructuur voor PKIo kerndi<strong>en</strong>st<strong>en</strong>.<br />
5.3 Personele beveiliging<br />
RFC 3647<br />
5.3 Geheimhoudingsverklaring<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.3.e<br />
PKIo<br />
Omdat het op<strong>en</strong>baar word<strong>en</strong> van vertrouwelijke informatie grote gevolg<strong>en</strong> kan<br />
hebb<strong>en</strong> (o.a. voor de betrouwbaarheid) moet de CSP zich inspann<strong>en</strong> om er<br />
Pagina 25 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
voor te zorg<strong>en</strong> dat vertrouwelijke informatie vertrouwelijk behandeld wordt <strong>en</strong><br />
vertrouwelijk blijft. Eén van de inspanning<strong>en</strong> die hiervoor geleverd moet<br />
word<strong>en</strong> is het lat<strong>en</strong> tek<strong>en</strong><strong>en</strong> van e<strong>en</strong> geheimhoudingsverklaring door<br />
personeelsled<strong>en</strong> <strong>en</strong> ingehuurde derd<strong>en</strong>.<br />
RFC 3647<br />
5.2.5 Beheer <strong>en</strong> beveiliging<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.1.a<br />
QCP 7.4.5<br />
PKIo<br />
De CSP moet de risicoanalyse minimaal jaarlijks, of als de PA daartoe opdracht<br />
geeft, of het NCSC daartoe advies geeft, opnieuw uitvoer<strong>en</strong>. De risicoanalyse<br />
moet alle PKIoverheid process<strong>en</strong> rak<strong>en</strong> die onder de verantwoordelijkheid van<br />
de CSP vall<strong>en</strong>.<br />
Op basis van de risicoanalyse moet de CSP e<strong>en</strong> informatiebeveiligingsplan<br />
ontwikkel<strong>en</strong>, implem<strong>en</strong>ter<strong>en</strong>, onderhoud<strong>en</strong>, handhav<strong>en</strong> <strong>en</strong> evaluer<strong>en</strong>. Dit plan<br />
beschrijft e<strong>en</strong> sam<strong>en</strong>hang<strong>en</strong>d geheel van pass<strong>en</strong>de administratieve,<br />
organisatorische, technische <strong>en</strong> fysieke maatregel<strong>en</strong> <strong>en</strong> procedures waarmee<br />
de CSP de beschikbaarheid, exclusiviteit <strong>en</strong> integriteit van alle PKIoverheid<br />
process<strong>en</strong>, aanvrag<strong>en</strong> <strong>en</strong> de gegev<strong>en</strong>s die daarvoor word<strong>en</strong> gebruikt,<br />
waarborgt.<br />
RFC 3647<br />
5.3.2 Anteced<strong>en</strong>t<strong>en</strong>onderzoek<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.3-j<br />
PKIo<br />
Voor het inschakel<strong>en</strong> van e<strong>en</strong> persoon bij één of meerdere kerndi<strong>en</strong>st<strong>en</strong> van<br />
PKIoverheid, ZAL de CSP of externe leverancier die e<strong>en</strong> deel van deze<br />
werkzaamhed<strong>en</strong> verricht de id<strong>en</strong>titeit <strong>en</strong> de betrouwbaarheid van deze<br />
werknemer verifiër<strong>en</strong>.<br />
5.4 Procedures t<strong>en</strong> behoeve van beveiligingsaudits<br />
RFC 3647<br />
5.4.1 Vastlegging van gebeurt<strong>en</strong>iss<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.4.5.j<br />
PKIo<br />
Logging di<strong>en</strong>t plaats te vind<strong>en</strong> op minimaal:<br />
Routers, firewalls <strong>en</strong> netwerk systeem compon<strong>en</strong>t<strong>en</strong>;<br />
Database activiteit<strong>en</strong> <strong>en</strong> ev<strong>en</strong>ts;<br />
Transacties;<br />
Operating system<strong>en</strong>;<br />
Pagina 26 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Access control system<strong>en</strong>;<br />
Mail servers.<br />
De CSP di<strong>en</strong>t minimaal de volg<strong>en</strong>de ev<strong>en</strong>ts te logg<strong>en</strong>:<br />
CA key life cycle managem<strong>en</strong>t;<br />
Certificate life cycle managem<strong>en</strong>t;<br />
Bedreiging<strong>en</strong> <strong>en</strong> risico’s zoals:<br />
Succesvolle <strong>en</strong> niet succesvolle aanvall<strong>en</strong> PKI systeem;<br />
Activiteit<strong>en</strong> van medewerkers op het PKI systeem;<br />
Lez<strong>en</strong>, schrijv<strong>en</strong> <strong>en</strong> verwijder<strong>en</strong> van gegev<strong>en</strong>s;<br />
Profiel wijziging<strong>en</strong> (Access Managem<strong>en</strong>t);<br />
Systeem uitval, hardware uitval <strong>en</strong> andere abnormaliteit<strong>en</strong>;<br />
Firewall <strong>en</strong> router activiteit<strong>en</strong>;<br />
Betred<strong>en</strong> van- <strong>en</strong> vertrekk<strong>en</strong> uit de ruimte van de CA.<br />
De log bestand<strong>en</strong> moet<strong>en</strong> minimaal het volg<strong>en</strong>de registrer<strong>en</strong>:<br />
Bron adress<strong>en</strong> (IP adress<strong>en</strong> indi<strong>en</strong> voorhand<strong>en</strong>);<br />
Doel adress<strong>en</strong> (IP adress<strong>en</strong> indi<strong>en</strong> voorhand<strong>en</strong>);<br />
Tijd <strong>en</strong> datum;<br />
Gebruikers ID’s (indi<strong>en</strong> voorhand<strong>en</strong>);<br />
Naam van de gebeurt<strong>en</strong>is;<br />
Beschrijving van de gebeurt<strong>en</strong>is.<br />
Opmerking<br />
Op basis van e<strong>en</strong> risicoanalyse bepaalt de CSP zelf welke gegev<strong>en</strong>s zij op-<br />
slaat.<br />
RFC 3647<br />
5.4.3 Bewaartermijn voor logbestand<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.4.11.e<br />
PKIo<br />
De CSP moet logbestand<strong>en</strong> voor gebeurt<strong>en</strong>iss<strong>en</strong> met betrekking tot:<br />
CA key life cycle managem<strong>en</strong>t <strong>en</strong>;<br />
Certificate life cycle managem<strong>en</strong>t;<br />
7 jaar bewar<strong>en</strong> <strong>en</strong> daarna verwijder<strong>en</strong>.<br />
De CSP moet logbestand<strong>en</strong> voor gebeurt<strong>en</strong>iss<strong>en</strong> met betrekking tot:<br />
Bedreiging<strong>en</strong> <strong>en</strong> risico’s;<br />
18 maand<strong>en</strong> bewar<strong>en</strong> <strong>en</strong> daarna verwijder<strong>en</strong>.<br />
De logbestand<strong>en</strong> moet<strong>en</strong> zodanig word<strong>en</strong> opgeslag<strong>en</strong>, dat de integriteit <strong>en</strong><br />
toegankelijkheid van de data gewaarborgd is.<br />
5.5 Archivering van docum<strong>en</strong>t<strong>en</strong><br />
RFC 3647<br />
5.5.2 Bewaartermijn archief<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.11.e<br />
Pagina 27 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
PKIo<br />
Ge<strong>en</strong> PKIo-eis van toepassing, alle<strong>en</strong> e<strong>en</strong> opmerking.<br />
Opmerking<br />
Op verzoek van de rechthebb<strong>en</strong>de kan word<strong>en</strong> overe<strong>en</strong>gekom<strong>en</strong> dat de<br />
gew<strong>en</strong>ste informatie langer door de CSP wordt bewaard. Dit is echter ge<strong>en</strong><br />
verplichting voor de CSP.<br />
5.7 Aantasting <strong>en</strong> continuïteit<br />
RFC 3647<br />
5.7.1 Procedures voor afhandeling incid<strong>en</strong>t<strong>en</strong> <strong>en</strong> aantasting<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.8.e<br />
PKIo<br />
De CSP di<strong>en</strong>t de PA, het NCSC <strong>en</strong> de auditor onmiddellijk op de hoogte te<br />
stell<strong>en</strong> van e<strong>en</strong> security breach <strong>en</strong>/of calamiteit, na analyse <strong>en</strong> vaststelling <strong>en</strong><br />
di<strong>en</strong>t de PA, het NCSC <strong>en</strong> de auditor van het verdere verloop op de hoogte te<br />
houd<strong>en</strong>.<br />
Opmerking<br />
Onder security breach wordt in de PKIoverheid context verstaan:<br />
E<strong>en</strong> inbreuk op de CSP kerndi<strong>en</strong>st<strong>en</strong>: registration service, <strong>certificate</strong><br />
g<strong>en</strong>eration service, subject device provisioning service, dissemination service,<br />
revocation managem<strong>en</strong>t service <strong>en</strong> revocation status service. Dit is in ieder<br />
geval maar niet limitatief:<br />
het ongeoorloofd uitschakel<strong>en</strong> of onbruikbaar mak<strong>en</strong> van e<strong>en</strong><br />
kerndi<strong>en</strong>st;<br />
ongeautoriseerde toegang tot e<strong>en</strong> kerndi<strong>en</strong>st t.b.v. het afluister<strong>en</strong>,<br />
onderschepp<strong>en</strong> <strong>en</strong> of verander<strong>en</strong> van bericht<strong>en</strong>verkeer;<br />
ongeautoriseerde toegang tot e<strong>en</strong> kerndi<strong>en</strong>st t.b.v. het ongeoorloofd<br />
verwijder<strong>en</strong>, wijzig<strong>en</strong> of aanpass<strong>en</strong> van computergegev<strong>en</strong>s.<br />
RFC 3647<br />
5.7.1 Procedures voor afhandeling incid<strong>en</strong>t<strong>en</strong> <strong>en</strong> aantasting<br />
Nummer 2<br />
ETSI<br />
QCP 7.4.1.a<br />
PKIo<br />
De CSP informeert de PA onmiddellijk over de risico's, gevar<strong>en</strong> of<br />
gebeurt<strong>en</strong>iss<strong>en</strong> die op <strong>en</strong>igerlei wijze de betrouwbaarheid van de<br />
di<strong>en</strong>stverl<strong>en</strong>ing <strong>en</strong>/of het imago van de PKI voor de overheid kunn<strong>en</strong><br />
bedreig<strong>en</strong> of beïnvloed<strong>en</strong>. Hieronder vall<strong>en</strong> in ieder geval ook, maar niet<br />
uitsluit<strong>en</strong>d, security breaches <strong>en</strong>/of calamiteit<strong>en</strong> met betrekking tot andere,<br />
door de CSP uitgevoerde, PKI di<strong>en</strong>st<strong>en</strong>, niet zijnde PKIoverheid.<br />
RFC 3647<br />
5.7.4 Continuïteit van de bedrijfsvoering na calamiteit<br />
Nummer 1<br />
Pagina 28 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
ETSI<br />
QCP 7.4.8.a<br />
PKIo<br />
De CSP moet e<strong>en</strong> business continuity plan (BCP) opstell<strong>en</strong> voor minimaal de<br />
kerndi<strong>en</strong>st<strong>en</strong> dissemination service, revocation managem<strong>en</strong>t service <strong>en</strong><br />
revocation status service met als doel, in het geval zich e<strong>en</strong> security breach of<br />
calamiteit voordoet, het informer<strong>en</strong> <strong>en</strong> redelijkerwijs bescherm<strong>en</strong> <strong>en</strong><br />
continuer<strong>en</strong> van de CSP di<strong>en</strong>stverl<strong>en</strong>ing t<strong>en</strong> behoeve van abonnees,<br />
vertrouw<strong>en</strong>de partij<strong>en</strong> <strong>en</strong> derd<strong>en</strong> (waaronder browserpartij<strong>en</strong>). De CSP moet<br />
het BCP jaarlijks test<strong>en</strong>, beoordel<strong>en</strong> <strong>en</strong> actualiser<strong>en</strong>. Het BCP moet in ieder<br />
geval de volg<strong>en</strong>de zak<strong>en</strong> beschrijv<strong>en</strong>:<br />
• Eis<strong>en</strong> aan inwerkingtreding;<br />
• Noodprocedure / uitwijkprocedure;<br />
• Eis<strong>en</strong> aan herstart<strong>en</strong> CSP di<strong>en</strong>stverl<strong>en</strong>ing;<br />
• Onderhoudsschema <strong>en</strong> testplan dat voorziet in het jaarlijks test<strong>en</strong>,<br />
beoordel<strong>en</strong> <strong>en</strong> actualiser<strong>en</strong> van het BCP;<br />
• Bepaling<strong>en</strong> over het onder de aandacht br<strong>en</strong>g<strong>en</strong> van het belang van<br />
business continuity;<br />
• Tak<strong>en</strong>, verantwoordelijkhed<strong>en</strong> <strong>en</strong> bevoegdhed<strong>en</strong> van betrokk<strong>en</strong> actor<strong>en</strong>;<br />
• Beoogde hersteltijd c.q. Recovery Time Objective (RTO);<br />
• Vastlegg<strong>en</strong> van de frequ<strong>en</strong>tie van back-ups van kritische<br />
bedrijfsinformatie <strong>en</strong> software;<br />
• Vastlegg<strong>en</strong> van de afstand van de uitwijkfaciliteit tot de hoofdvestiging<br />
van de CSP; <strong>en</strong><br />
• Vastlegg<strong>en</strong> van procedures voor het beveilig<strong>en</strong> van de faciliteit gedur<strong>en</strong>de<br />
de periode na e<strong>en</strong> security breach of calamiteit <strong>en</strong> voor de inrichting van<br />
e<strong>en</strong> beveiligde omgeving bij de hoofdvestiging of de uitwijkfaciliteit.<br />
Pagina 29 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
6 Technische beveiliging<br />
6.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van sleutelpar<strong>en</strong><br />
RFC 3647<br />
6.1.1 G<strong>en</strong>erer<strong>en</strong> van sleutelpar<strong>en</strong> voor de CSP sub CA<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.1.c <strong>en</strong> 7.2.1.d<br />
PKIo<br />
Het algoritme <strong>en</strong> de l<strong>en</strong>gte van de cryptografische sleutels die word<strong>en</strong> gebruikt<br />
voor het g<strong>en</strong>erer<strong>en</strong> van de sleutels voor de CSP sub CA di<strong>en</strong><strong>en</strong> te voldo<strong>en</strong> aan<br />
de eis<strong>en</strong>, die daaraan zijn gesteld in de lijst van aanbevol<strong>en</strong> cryptografische<br />
algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes, zoals gedefinieerd in ETSI TS 102 176-1.<br />
Opmerking<br />
Hoewel in ETSI TS 102 176 over aanbevol<strong>en</strong> algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes<br />
wordt gesprok<strong>en</strong>, word<strong>en</strong> deze binn<strong>en</strong> de PKI voor overheid verplicht gesteld.<br />
Verzoek<strong>en</strong> voor gebruik van andere algoritmes di<strong>en</strong><strong>en</strong>, voorzi<strong>en</strong> van e<strong>en</strong><br />
motivatie te word<strong>en</strong> gedaan bij de PA van de PKI voor de overheid.<br />
RFC 3647<br />
6.1.1 G<strong>en</strong>erer<strong>en</strong> van sleutelpar<strong>en</strong> van de certificaathouders<br />
Nummer 2<br />
ETSI<br />
QCP 7.2.8.c <strong>en</strong> 7.3.1.l<br />
PKIo<br />
Het g<strong>en</strong>erer<strong>en</strong> van de sleutels van certificaathouders (c.q. gegev<strong>en</strong>s voor het<br />
aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong>) di<strong>en</strong>t te geschied<strong>en</strong> in e<strong>en</strong><br />
middel dat voldoet aan de eis<strong>en</strong> g<strong>en</strong>oemd in [12] CWA 14169 "Secure<br />
signature-creation devices "EAL 4+"" of gelijkwaardige beveiligingscriteria.<br />
RFC 3647<br />
6.1.1 G<strong>en</strong>erer<strong>en</strong> van sleutelpar<strong>en</strong> van de certificaathouders<br />
Nummer 3<br />
ETSI<br />
QCP 7.2.8.a<br />
PKIo<br />
Het algoritme dat de CSP gebruikt voor het g<strong>en</strong>erer<strong>en</strong> van de sleutels van<br />
certificaathouders di<strong>en</strong>t te voldo<strong>en</strong> aan de eis<strong>en</strong>, die daaraan zijn gesteld in de<br />
lijst van cryptografische algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes, zoals gedefinieerd in<br />
ETSI TS 102 176-1.<br />
Opmerking<br />
Hoewel in ETSI TS 102 176 over aanbevol<strong>en</strong> algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes<br />
wordt gesprok<strong>en</strong>, word<strong>en</strong> deze binn<strong>en</strong> de PKI voor overheid verplicht gesteld.<br />
Verzoek<strong>en</strong> voor gebruik van andere algoritmes di<strong>en</strong><strong>en</strong>, voorzi<strong>en</strong> van e<strong>en</strong><br />
motivatie te word<strong>en</strong> gedaan bij de PA van de PKI voor de overheid.<br />
Pagina 30 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
RFC 3647<br />
6.1.2 Overdracht van private sleutel <strong>en</strong> SSCD aan certificaathouder<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.8.d<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2] <strong>en</strong> [OID<br />
2.16.528.1.1003.1.2.2.1 <strong>en</strong> 2.16.528.1.1003.1.2.5.1] De private sleutel van<br />
de certificaathouder di<strong>en</strong>t te word<strong>en</strong> geleverd aan de certificaathouder, indi<strong>en</strong><br />
van toepassing via de abonnee, op e<strong>en</strong> zodanige wijze dat de<br />
vertrouwelijkheid <strong>en</strong> integriteit van de sleutel niet kan word<strong>en</strong> aangetast <strong>en</strong>,<br />
e<strong>en</strong>maal geleverd aan de certificaathouder, alle<strong>en</strong> de certificaathouder toegang<br />
heeft tot zijn private sleutel.<br />
Opmerking<br />
Deze tekst komt overe<strong>en</strong> met QCP 7.2.8.d, maar is integraal opg<strong>en</strong>om<strong>en</strong><br />
omdat deze eis alle<strong>en</strong> van toepassing is op handtek<strong>en</strong>ing- <strong>en</strong><br />
auth<strong>en</strong>ticiteitcertificaat.<br />
RFC 3647<br />
6.1.5 Sleutell<strong>en</strong>gt<strong>en</strong> van private sleutels van certificaathouders<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.8.b<br />
PKIo<br />
De l<strong>en</strong>gte van de cryptografische sleutels van de certificaathouders di<strong>en</strong>t te<br />
voldo<strong>en</strong> aan de eis<strong>en</strong>, die daaraan zijn gesteld in de lijst van cryptografische<br />
algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes, zoals gedefinieerd in ETSI TS 102 176-1.<br />
Opmerking<br />
Hoewel in ETSI TS 102 176 over aanbevol<strong>en</strong> algoritmes <strong>en</strong> sleutell<strong>en</strong>gtes<br />
wordt gesprok<strong>en</strong>, word<strong>en</strong> deze binn<strong>en</strong> de PKI voor overheid verplicht gesteld.<br />
Verzoek<strong>en</strong> voor gebruik van andere algoritmes di<strong>en</strong><strong>en</strong>, voorzi<strong>en</strong> van e<strong>en</strong><br />
motivatie te word<strong>en</strong> gedaan bij de PA van de PKI voor de overheid.<br />
RFC 3647 6.1.7 Doel<strong>en</strong> van sleutelgebruik (zoals bedoeld in X.509 v3)<br />
Nummer 1<br />
ETSI QCP 7.2.5<br />
PKIo De sleutelgebruiksext<strong>en</strong>sie (key usage) in X.509 v3 <strong>certificate</strong>n (RFC 5280<br />
Internet X.509 Public Key Infrastructure Certificate and CRL Profile) definieert<br />
het doel van het gebruik van de sleutel vervat in het certificaat. De CSP di<strong>en</strong>t<br />
het gebruik van sleutels in het certificaat aan te gev<strong>en</strong>, conform de eis<strong>en</strong> die<br />
daaraan zijn gesteld in bijlage A 'Certificaat- <strong>en</strong> CRL- <strong>en</strong> OCSP-profiel<strong>en</strong>' van dit<br />
CP.<br />
Pagina 31 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
6.2 Private sleutelbescherming <strong>en</strong> cryptografische module<br />
<strong>en</strong>gineering beheersmaatregel<strong>en</strong><br />
RFC 3647<br />
6.2.3 Escrow van private sleutels van certificaathouders<br />
Nummer 1<br />
ETSI QCP 7.2.4<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2] <strong>en</strong> [OID<br />
2.16.528.1.1003.1.2.2.1 <strong>en</strong> 2.16.528.1.1003.1.2.5.1] Escrow door de CSP is<br />
niet toegestaan voor de private sleutels van het handtek<strong>en</strong>ingcertificaat <strong>en</strong> het<br />
auth<strong>en</strong>ticiteitcertificaat.<br />
RFC 3647<br />
6.2.3 Escrow van private sleutels van certificaathouders<br />
Nummer 2<br />
ETSI<br />
QCP 7.2.4 (ETSI TS 102 042 NCP+ 7.2.4.b)<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3] De geautoriseerde<br />
person<strong>en</strong>, die toegang kunn<strong>en</strong> krijg<strong>en</strong> tot de door de CSP in escrow gehoud<strong>en</strong><br />
private sleutel van het vertrouwelijkheidcertificaat (indi<strong>en</strong> van toepassing),<br />
moet<strong>en</strong> zich id<strong>en</strong>tificer<strong>en</strong> aan de hand van de bij artikel 1 van de Wet op de<br />
id<strong>en</strong>tificatieplicht aangewez<strong>en</strong> geldige docum<strong>en</strong>t<strong>en</strong> of e<strong>en</strong> geldig gekwalificeerd<br />
certificaat (beperkt tot e<strong>en</strong> PKIoverheid handtek<strong>en</strong>ingcertificaat of<br />
gelijkwaardig).<br />
RFC 3647<br />
6.2.3 Escrow van private sleutels van certificaathouders<br />
Nummer 3<br />
ETSI<br />
QCP 7.2.4 (ETSI TS 102 042 NCP+ 7.2.4.b)<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3] De CSP di<strong>en</strong>t in de<br />
CPS te beschrijv<strong>en</strong> welke partij<strong>en</strong> <strong>en</strong> onder welke voorwaard<strong>en</strong>, toegang tot de<br />
in escrow gehoud<strong>en</strong> private sleutel van het vertrouwelijkheidcertificaat kunn<strong>en</strong><br />
krijg<strong>en</strong>.<br />
RFC 3647<br />
6.2.3 Escrow van private sleutels van certificaathouders<br />
Nummer 4<br />
ETSI<br />
QCP 7.2.4 (ETSI TS 102 042 NCP+ 7.2.4.b)<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3] Indi<strong>en</strong> de CSP de<br />
private sleutel van het vertrouwelijkheidcertificaat in escrow houdt, di<strong>en</strong>t de<br />
CSP te garander<strong>en</strong> dat deze private sleutel geheim wordt gehoud<strong>en</strong> <strong>en</strong><br />
Pagina 32 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
uitsluit<strong>en</strong>d ter beschikking wordt gesteld aan toepasselijk geautoriseerde<br />
person<strong>en</strong>.<br />
Opmerking<br />
Hoewel deze eis overe<strong>en</strong>komt met ETSI TS 102 042 NCP+ 7.2.4.b, is de deze<br />
eis toch als PKIo-eis gepositioneerd om te waarborg<strong>en</strong> dat deze onderdeel<br />
uitmaakt van de goedkeur<strong>en</strong>de auditverklaring die de CSP moet overlegg<strong>en</strong>.<br />
RFC 3647<br />
6.2.4.2 Back-up van private sleutels van certificaathouders<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.4 <strong>en</strong> 7.2.8.e<br />
PKIo<br />
Back-up door de CSP van de private sleutels van de certificaathouders, is niet<br />
toegestaan.<br />
RFC 3647<br />
6.2.5 Archivering van private sleutels van certificaathouders<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.4 <strong>en</strong> 7.2.8.e<br />
PKIo<br />
Archivering door de CSP van de private sleutels van de certificaathouders, is<br />
niet toegestaan.<br />
RFC 3647<br />
6.2.11 Eis<strong>en</strong> voor veilige middel<strong>en</strong> voor het aanmak<strong>en</strong> van elektronische<br />
handtek<strong>en</strong>ing<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 5.3.1.c<br />
PKIo<br />
Door de CSP uitgegev<strong>en</strong> of aanbevol<strong>en</strong> veilige middel<strong>en</strong> voor het aanmak<strong>en</strong><br />
van elektronische handtek<strong>en</strong>ing<strong>en</strong> (SSCD's) moet<strong>en</strong> voldo<strong>en</strong> aan de eis<strong>en</strong><br />
gesteld in docum<strong>en</strong>t [12] CWA 14169 "Secure signature-creation devices "EAL<br />
4+"" <strong>en</strong> aan de eis<strong>en</strong>, gesteld bij of kracht<strong>en</strong>s het Besluit elektronische<br />
handtek<strong>en</strong>ing<strong>en</strong> artikel 5, onderdel<strong>en</strong> a, b, c <strong>en</strong> d.<br />
Opmerking<br />
Specifiek voor het domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie geldt dat kan<br />
word<strong>en</strong> afgewek<strong>en</strong> van de vormvereiste dat de SSCD e<strong>en</strong> smartcard moet zijn.<br />
Het gebruik van andere tok<strong>en</strong>s, zoals e<strong>en</strong> USB-key, is hiermee toegestaan.<br />
Voorwaarde is dat de SSCD aan de inhoudelijke eis<strong>en</strong> voldoet zoals<br />
gespecificeerd in 6.2.11-1, -2 of –3.<br />
RFC 3647<br />
6.2.11 Eis<strong>en</strong> voor veilige middel<strong>en</strong> voor het aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong><br />
Pagina 33 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nummer 2<br />
ETSI<br />
QCP 5.3.1.c<br />
PKIo<br />
In plaats van conformiteit aan CWA 14169 aan te ton<strong>en</strong> mog<strong>en</strong> CSP's SSCD's<br />
uitgev<strong>en</strong> of aanbevel<strong>en</strong> die volg<strong>en</strong>s e<strong>en</strong> ander protection profile zijn<br />
gecertificeerd teg<strong>en</strong> de Common Criteria (ISO/IEC 15408) op niveau EAL4+ of<br />
die e<strong>en</strong> vergelijkbaar betrouwbaarheidsniveau hebb<strong>en</strong>. Dit di<strong>en</strong>t te word<strong>en</strong><br />
vastgesteld door e<strong>en</strong> testlaboratorium dat geaccrediteerd is voor het uitvoer<strong>en</strong><br />
van Common Criteria evaluaties.<br />
RFC 3647<br />
6.2.11 Eis<strong>en</strong> voor veilige middel<strong>en</strong> voor het aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong><br />
Nummer 3<br />
ETSI<br />
QCP 5.3.1.c<br />
PKIo<br />
De overe<strong>en</strong>stemming van SSCD's met de eis<strong>en</strong> zoals g<strong>en</strong>oemd in PKIo-eis nr<br />
6.2.11-1 moet zijn vastgesteld door e<strong>en</strong> volg<strong>en</strong>s de Telecommunicatiewet (TW)<br />
artikel 18.17, derde lid, aangewez<strong>en</strong> instantie voor de keuring van veilige<br />
middel<strong>en</strong> voor het aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong>. Zie hiervoor<br />
ook de Regeling elektronische handtek<strong>en</strong>ing<strong>en</strong>, art. 4 <strong>en</strong> 5.<br />
6.3 Andere aspect<strong>en</strong> van sleutelpaarmanagem<strong>en</strong>t<br />
RFC 3647<br />
6.3.1 Archiver<strong>en</strong> van publieke sleutels<br />
Nummer 1<br />
ETSI<br />
QCP 7.4.11.e<br />
PKIo-OO<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2] Het<br />
handtek<strong>en</strong>ingcertificaat di<strong>en</strong>t tijd<strong>en</strong>s de geldigheidsduur <strong>en</strong> bov<strong>en</strong>di<strong>en</strong><br />
gedur<strong>en</strong>de e<strong>en</strong> periode van t<strong>en</strong> minste zev<strong>en</strong> jaar na de datum waarop de<br />
geldigheid van het certificaat is verlop<strong>en</strong> te word<strong>en</strong> bewaard.<br />
Opmerking<br />
De termijn van zev<strong>en</strong> jaar komt voort uit de BEH artikel 2, lid 1i. Er geld<strong>en</strong><br />
ge<strong>en</strong> nadere bepaling<strong>en</strong> voor het auth<strong>en</strong>ticiteitcertificaat <strong>en</strong> het<br />
vertrouwelijkheidcertificaat in relatie tot het archiver<strong>en</strong> van de publieke<br />
sleutels.<br />
RFC 3647<br />
6.3.2 Gebruiksduur voor <strong>certificate</strong>n <strong>en</strong> publieke <strong>en</strong> private sleutels<br />
Nummer 1<br />
ETSI QCP 7.2.6<br />
Pagina 34 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
PKIo<br />
Private sleutels die door e<strong>en</strong> certificaathouder word<strong>en</strong> gebruikt <strong>en</strong> die zijn<br />
uitgegev<strong>en</strong> onder verantwoordelijkheid van deze CP, di<strong>en</strong><strong>en</strong> niet langer dan<br />
vijf jaar te word<strong>en</strong> gebruikt. De <strong>certificate</strong>n, die zijn uitgegev<strong>en</strong> onder de<br />
verantwoordelijkheid van deze CP, di<strong>en</strong><strong>en</strong> e<strong>en</strong> geldigheid te hebb<strong>en</strong> van niet<br />
meer dan vijf jaar.<br />
Opmerking<br />
De CSP's binn<strong>en</strong> de PKI voor de overheid mog<strong>en</strong> pas <strong>certificate</strong>n uitgev<strong>en</strong> met<br />
e<strong>en</strong> maximale geldigheidsduur van vijf jaar nadat de PA hiervoor expliciet<br />
toestemming heeft gegev<strong>en</strong>. Dit in verband met het te gebruik<strong>en</strong> algoritme<br />
dat door e<strong>en</strong> groot aantal applicaties nog niet wordt ondersteund. Van de<br />
expliciete toestemming zal melding word<strong>en</strong> gemaakt bij dit artikel.<br />
RFC 3647<br />
6.3.2 Gebruiksduur voor <strong>certificate</strong>n <strong>en</strong> publieke <strong>en</strong> private sleutels<br />
Nummer 2<br />
ETSI QCP 7.2.6<br />
PKIo<br />
Op het mom<strong>en</strong>t van uitgifte van e<strong>en</strong> eindgebruikercertificaat di<strong>en</strong>t de<br />
rester<strong>en</strong>de geldigheidsduur van het bov<strong>en</strong>ligg<strong>en</strong>de CSP-certificaat langer te<br />
zijn dan de beoogde geldigheidsduur van het eindgebruikercertificaat.<br />
6.4 Activeringsgegev<strong>en</strong>s<br />
RFC 3647<br />
6.4.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van activeringsgegev<strong>en</strong>s<br />
Nummer 1<br />
ETSI<br />
QCP 7.2.9.d<br />
PKIo-OO<br />
De CSP verbindt activeringsgegev<strong>en</strong>s aan het gebruik van e<strong>en</strong> SSCD, ter<br />
bescherming van de private sleutels van de certificaathouders.<br />
Opmerking<br />
De eis<strong>en</strong> waaraan de activeringsgegev<strong>en</strong>s (bijvoorbeeld de PIN-code) moet<br />
voldo<strong>en</strong>, kunn<strong>en</strong> door de CSP's zelf word<strong>en</strong> bepaald op basis van bijvoorbeeld<br />
e<strong>en</strong> risicoanalyse. Eis<strong>en</strong> waaraan kan word<strong>en</strong> gedacht zijn l<strong>en</strong>gte van de PINcode<br />
<strong>en</strong> gebruik van vreemde tek<strong>en</strong>s.<br />
RFC 3647<br />
6.4.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van activeringsgegev<strong>en</strong>s<br />
Nummer 2<br />
ETSI<br />
QCP 7.2.9.d<br />
PKIo<br />
Het is alle<strong>en</strong> toegestaan om gebruik te mak<strong>en</strong> van e<strong>en</strong> deblokkeringscode als<br />
de CSP kan garander<strong>en</strong> dat daarbij t<strong>en</strong>minste wordt voldaan aan de<br />
betrouwbaarheidseis<strong>en</strong>, die aan het gebruik van de activeringsgegev<strong>en</strong>s zijn<br />
gesteld.<br />
Pagina 35 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
6.5 Logische toegangsbeveiliging van CSP-computers<br />
RFC 3647<br />
6.5.1 Specifieke technische vereist<strong>en</strong> aan computerbeveiliging<br />
Nummer 1<br />
ETSI QCP 7.4.6<br />
PKIo<br />
De CSP moet multi-factor auth<strong>en</strong>ticatie gebruik<strong>en</strong> (b.v. smartcard met<br />
persoonsgebond<strong>en</strong> <strong>certificate</strong>n <strong>en</strong> e<strong>en</strong> persoonsgebond<strong>en</strong> wachtwoord of<br />
biometrie <strong>en</strong> e<strong>en</strong> persoonsgebond<strong>en</strong> wachtwoord) voor het systeem of de<br />
gebruiker accounts waarmee uitgifte of goedkeuring van <strong>certificate</strong>n kan<br />
word<strong>en</strong> verricht.<br />
Opmerking<br />
Multi-factor auth<strong>en</strong>ticatie tok<strong>en</strong>s mog<strong>en</strong> niet op e<strong>en</strong> perman<strong>en</strong>te of semiperman<strong>en</strong>te<br />
wijze zijn aangeslot<strong>en</strong> op het systeem (b.v. e<strong>en</strong> perman<strong>en</strong>t<br />
geactiveerde smartcard). Hiermee zou het namelijk mogelijk zijn dat<br />
<strong>certificate</strong>n (semi)-automatisch word<strong>en</strong> uitgegev<strong>en</strong> of goedgekeurd of dat niet<br />
geautoriseerde medewerkers <strong>certificate</strong>n uitgev<strong>en</strong> of goedkeur<strong>en</strong>.<br />
RFC 3647<br />
6.5.1 Specifieke technische vereist<strong>en</strong> aan computerbeveiliging<br />
Nummer 2<br />
ETSI QCP 7.4.6<br />
PKIo<br />
Medewerkers van externe Registration Authorities (RA) of Resellers mog<strong>en</strong><br />
ge<strong>en</strong> toegang hebb<strong>en</strong> tot het systeem of de gebruiker accounts van de CSP<br />
waarmee uitgifte of goedkeuring van <strong>certificate</strong>n kan word<strong>en</strong> verricht. Dit is<br />
alle<strong>en</strong> voorbehoud<strong>en</strong> aan geautoriseerde medewerkers van de CSP. Als e<strong>en</strong> RA<br />
of e<strong>en</strong> Reseller wel deze toegang heeft dan wordt de RA of de Reseller als e<strong>en</strong><br />
onderdeel van de CSP beschouwd <strong>en</strong> moet zij onverkort <strong>en</strong> aantoonbaar<br />
voldo<strong>en</strong> aan het Programma van Eis<strong>en</strong> van de PKI voor de overheid.<br />
RFC 3647<br />
6.5.1 Specifieke technische vereist<strong>en</strong> aan computerbeveiliging<br />
Nummer 3<br />
ETSI<br />
QCP 7.4.6.a<br />
PKIo<br />
De CSP voorkomt ongeautoriseerde toegang tot de kerndi<strong>en</strong>st<strong>en</strong> registration<br />
service, <strong>certificate</strong> g<strong>en</strong>eration service, subject device provision service,<br />
dissemination service, revocation managem<strong>en</strong>t service <strong>en</strong> revocation status<br />
service. Hiertoe word<strong>en</strong> deze kerndi<strong>en</strong>st<strong>en</strong> fysiek of logisch gescheid<strong>en</strong> van<br />
niet-PKI netwerkdomein<strong>en</strong>, of word<strong>en</strong> de verschill<strong>en</strong>de kerndi<strong>en</strong>st<strong>en</strong> op<br />
separate netwerkdomein<strong>en</strong> uitgevoerd waarbij er sprake moet zijn van e<strong>en</strong><br />
unieke auth<strong>en</strong>ticatie per kerndi<strong>en</strong>st. Als kerndi<strong>en</strong>st<strong>en</strong> gebruik mak<strong>en</strong> van<br />
hetzelfde netwerkdomein dwingt de CSP e<strong>en</strong> unieke auth<strong>en</strong>ticatie per<br />
kerndi<strong>en</strong>st af. De CSP docum<strong>en</strong>teert de inrichting van de netwerkdomein<strong>en</strong><br />
t<strong>en</strong> minste op grafische wijze.<br />
Pagina 36 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Opmerking<br />
Deze eis geldt zowel voor de productie omgeving als voor de uitwijk omgeving.<br />
Deze eis geldt niet voor andere omgeving<strong>en</strong> zoals acceptatie <strong>en</strong> test.<br />
6.6 Beheersmaatregel<strong>en</strong> technische lev<strong>en</strong>scyclus<br />
RFC 3647<br />
6.6.1 Beheersmaatregel<strong>en</strong> t<strong>en</strong> behoeve van systeemontwikkeling<br />
Nummer 1<br />
ETSI QCP 7.4.7<br />
PKIo<br />
Bij deze ETSI-eis heeft de PKIoverheid alle<strong>en</strong> e<strong>en</strong> opmerking geformuleerd <strong>en</strong><br />
is ge<strong>en</strong> specifieke PKIo-eis van toepassing.<br />
Opmerking<br />
Conformiteit aan QCP 7.4.7. <strong>en</strong> BEH art. 2 lid 1c kan word<strong>en</strong> aangetoond door:<br />
e<strong>en</strong> auditverklaring van de leverancier van de product<strong>en</strong>, die e<strong>en</strong><br />
onafhankelijke EDP audit heeft lat<strong>en</strong> uitvoer<strong>en</strong> op basis van CWA 14167-<br />
1;<br />
e<strong>en</strong> auditverklaring van e<strong>en</strong> interne auditor van de CSP op basis van CWA<br />
14167-1;<br />
e<strong>en</strong> auditverklaring van e<strong>en</strong> externe auditor op basis van CWA 14167-1.<br />
6.7 Netwerkbeveiliging<br />
RFC 3647<br />
6.7.1 Netwerkbeveiliging<br />
Nummer 1<br />
ETSI QCP 7.4.6<br />
PKIo<br />
De CSP moet er zorg voor drag<strong>en</strong> dat alle PKIoverheid ICT system<strong>en</strong> met<br />
betrekking tot de registration service, <strong>certificate</strong> g<strong>en</strong>eration service, subject<br />
device provision service, dissemination service, revocation managem<strong>en</strong>t<br />
service <strong>en</strong> revocation status service:<br />
zijn voorzi<strong>en</strong> van de laatste updates <strong>en</strong>;<br />
de webapplicatie alle invoer van gebruikers controleert <strong>en</strong> filtert <strong>en</strong>;<br />
de webapplicatie de dynamische uitvoer codeert <strong>en</strong>;<br />
de webapplicatie e<strong>en</strong> veilige sessie met de gebruiker onderhoudt <strong>en</strong>;<br />
de webapplicatie op e<strong>en</strong> veilige manier gebruik maakt van e<strong>en</strong> database.<br />
Opmerking<br />
De CSP moet hiervoor de “Checklist beveiliging webapplicaties 4 ” van het NCSC<br />
als guidance gebruik<strong>en</strong>. Daarnaast wordt geadviseerd dat de CSP alle overige<br />
aanbeveling<strong>en</strong> uit de laatste versie van de whitepaper “Raamwerk Beveiliging<br />
Webapplicaties” van het NCSC implem<strong>en</strong>teert.<br />
4 http://www.govcert.nl/binaries/live/govcert/hst%3Acont<strong>en</strong>t/di<strong>en</strong>stverl<strong>en</strong>ing/k<strong>en</strong>nis-<strong>en</strong>-<br />
publicaties/factsheets/checklist-webapplicatie-beveiliging/checklist-webapplicatie-<br />
beveiliging/govcert%3Adocum<strong>en</strong>tResource/govcert%3Aresource<br />
Pagina 37 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
RFC 3647<br />
6.7.1 Netwerkbeveiliging<br />
Nummer 2<br />
ETSI QCP 7.4.6<br />
PKIo<br />
De CSP voert minimaal maandelijks, met behulp van e<strong>en</strong> audit tool, e<strong>en</strong><br />
security scan uit op haar PKIoverheid infrastructuur. De CSP docum<strong>en</strong>teert het<br />
resultaat van elke security scan <strong>en</strong> de maatregel<strong>en</strong> die hierop zijn g<strong>en</strong>om<strong>en</strong>.<br />
Opmerking<br />
Enkele voorbeeld<strong>en</strong> van commerciële <strong>en</strong> niet-commerciële audit tools zijn GFI<br />
LanGuard, Nessus, Nmap, Op<strong>en</strong>VAS <strong>en</strong> Retina.<br />
RFC 3647<br />
6.7.1 Netwerkbeveiliging<br />
Nummer 3<br />
ETSI QCP 7.4.6<br />
PKIo<br />
De CSP laat minimaal e<strong>en</strong> keer per jaar e<strong>en</strong> p<strong>en</strong>test uitvoer<strong>en</strong> op de<br />
PKIoverheid internet facing omgeving door e<strong>en</strong> onafhankelijke, ervar<strong>en</strong>,<br />
externe leverancier. De CSP moet de bevinding<strong>en</strong> van de p<strong>en</strong>test, <strong>en</strong> de<br />
maatregel<strong>en</strong> die hierop word<strong>en</strong> g<strong>en</strong>om<strong>en</strong>, (lat<strong>en</strong>) docum<strong>en</strong>ter<strong>en</strong>.<br />
Opmerking Voor de leverancierselectie kan de CSP de aanbeveling<strong>en</strong> in hoofdstuk 4<br />
(“Leverancierselectie”) zoals beschrev<strong>en</strong> in de laatste versie van de whitepaper<br />
“P<strong>en</strong>test<strong>en</strong> doe je zo 5 ” van het NCSC, als guidance gebruik<strong>en</strong>.<br />
Indi<strong>en</strong> noodzakelijk kan de PA e<strong>en</strong> opdracht gev<strong>en</strong> aan de CSP tot het lat<strong>en</strong><br />
uitvoer<strong>en</strong> van extra p<strong>en</strong>test<strong>en</strong>.<br />
5 http://www.govcert.nl/binaries/live/govcert/hst%3Acont<strong>en</strong>t/di<strong>en</strong>stverl<strong>en</strong>ing/k<strong>en</strong>nis-<strong>en</strong>publicaties/whitepapers/p<strong>en</strong>test<strong>en</strong>-doe-je-zo/p<strong>en</strong>test<strong>en</strong>-doe-jezo/govcert%3Adocum<strong>en</strong>tResource/govcert%3Aresource<br />
Pagina 38 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
7 Certificaat-, CRL- <strong>en</strong> OCSP-profiel<strong>en</strong><br />
7.1 Certificaatprofiel<strong>en</strong><br />
RFC 3647<br />
7.1 Certificaatprofiel<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.3.3.a<br />
PKIo<br />
De CSP di<strong>en</strong>t <strong>certificate</strong>n uit te gev<strong>en</strong> conform de eis<strong>en</strong>, die daaraan zijn<br />
gesteld in bijlage A van dit docum<strong>en</strong>t, te wet<strong>en</strong> "Certificaat-, CRL- <strong>en</strong> OCSPprofiel<strong>en</strong>".<br />
7.2 CRL-profiel<strong>en</strong><br />
RFC 3647<br />
7.2 CRL-profiel<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.3.6.g<br />
PKIo<br />
De CSP di<strong>en</strong>t CRL's uit te gev<strong>en</strong> conform de eis<strong>en</strong>, die daaraan zijn gesteld in<br />
bijlage A van dit docum<strong>en</strong>t, te wet<strong>en</strong> "Certificaat-, CRL- <strong>en</strong> OCSP-profiel<strong>en</strong>".<br />
7.3 OCSP-profiel<strong>en</strong><br />
RFC 3647<br />
7.3 OCSP-profiel<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
In ETSI wordt OCSP in het geheel niet behandeld.<br />
PKIo<br />
Indi<strong>en</strong> de CSP het Online Certificate Status Protocol (OCSP) ondersteunt, di<strong>en</strong>t<br />
de CSP OCSP <strong>certificate</strong>n <strong>en</strong> responses te hanter<strong>en</strong> conform de eis<strong>en</strong>, die<br />
daaraan zijn gesteld in bijlage A van dit docum<strong>en</strong>t, te wet<strong>en</strong> "Certificaat-, CRL<strong>en</strong><br />
OCSP-profiel<strong>en</strong>".<br />
Pagina 39 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
8 Conformiteitbeoordeling<br />
Alle onderwerp<strong>en</strong> met betrekking tot de conformiteitbeoordeling van de<br />
CSP's binn<strong>en</strong> de PKI voor de overheid word<strong>en</strong> behandeld in PvE deel 2:<br />
Toetreding tot <strong>en</strong> Toezicht binn<strong>en</strong> de PKI voor de overheid.<br />
Pagina 40 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
9 Algem<strong>en</strong>e <strong>en</strong> juridische bepaling<strong>en</strong><br />
9.2 Financiële verantwoordelijkheid <strong>en</strong> aansprakelijkheid<br />
RFC 3647<br />
9.2.1 Verzekeringsdekking, 9.2.2 Overige bezitting<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
QCP 7.5.d<br />
PKIo<br />
De CSP moet aantoonbaar in staat zijn, bijvoorbeeld door middel van<br />
verzekering<strong>en</strong> dan wel zijn financiële positie, e<strong>en</strong> verhaalbaarheid op basis van<br />
g<strong>en</strong>oemde vorm<strong>en</strong> van aansprakelijkheid in artikel 6:196b Burgerlijk Wetboek<br />
(die betrekking hebb<strong>en</strong> op zowel directe als indirecte schade) af te dekk<strong>en</strong> t<strong>en</strong><br />
bedrage van t<strong>en</strong>minste EUR 1.000.000 per jaar.<br />
Opmerking<br />
De hierbov<strong>en</strong> beschrev<strong>en</strong> verhaalbaarheid is gebaseerd op e<strong>en</strong> maximaal<br />
aantal af te gev<strong>en</strong> <strong>certificate</strong>n van 100.000 per CSP, hetge<strong>en</strong> past bij de<br />
huidige situatie. Wanneer CSP's meer <strong>certificate</strong>n gaan uitgev<strong>en</strong> zal word<strong>en</strong><br />
bepaald of e<strong>en</strong> pass<strong>en</strong>de, hogere, verhaalbaarheid zal word<strong>en</strong> gevorderd.<br />
9.5 Intellectuele eig<strong>en</strong>domsrecht<strong>en</strong><br />
RFC 3647<br />
9.5 Intellectuele eig<strong>en</strong>domsrecht<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
In ETSI wordt sch<strong>en</strong>ding van intellectuele eig<strong>en</strong>domsrecht<strong>en</strong> niet behandeld<br />
PKIo<br />
De CSP vrijwaart de abonnee t<strong>en</strong> aanzi<strong>en</strong> van aansprak<strong>en</strong> door derd<strong>en</strong><br />
vanwege sch<strong>en</strong>ding<strong>en</strong> van intellectuele eig<strong>en</strong>domsrecht<strong>en</strong> door de CSP.<br />
9.6 Aansprakelijkheid<br />
RFC 3647<br />
9.6.1 Aansprakelijkheid van CSP's<br />
Nummer 1<br />
ETSI<br />
QCP 6.4 <strong>en</strong> Annex A<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.1 <strong>en</strong> 2.16.528.1.1003.1.2.5.1] In de overe<strong>en</strong>komst<br />
tuss<strong>en</strong> de CSP <strong>en</strong> de abonnee wordt e<strong>en</strong> beding (e<strong>en</strong> bepaling als bedoeld in<br />
artikel 6:253 BW) opg<strong>en</strong>om<strong>en</strong> waarin de CSP zich sterk maakt voor e<strong>en</strong> op het<br />
certificaat vertrouw<strong>en</strong>de derde. Dit beding strekt tot e<strong>en</strong> aansprakelijkheid van<br />
de CSP overe<strong>en</strong>komstig artikel 6:196b, eerste tot <strong>en</strong> met derde lid, van het<br />
Burgerlijk Wetboek, met di<strong>en</strong> verstande dat:<br />
a. voor "e<strong>en</strong> gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss<br />
Telecommunicatiewet" gelez<strong>en</strong> wordt: "e<strong>en</strong> auth<strong>en</strong>ticiteitcertificaat";<br />
Pagina 41 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
b. voor "ondertek<strong>en</strong>aar" gelez<strong>en</strong> wordt: "certificaathouder";<br />
c. voor "elektronische handtek<strong>en</strong>ing<strong>en</strong>" gelez<strong>en</strong> wordt:<br />
"auth<strong>en</strong>ticiteitsk<strong>en</strong>merk<strong>en</strong>".<br />
RFC 3647<br />
9.6.1 Aansprakelijkheid van CSP's<br />
Nummer 2<br />
ETSI<br />
QCP 6.4 <strong>en</strong> Annex A<br />
PKIo<br />
[OID 2.16.528.1.1003.1.2.2.3 <strong>en</strong> 2.16.528.1.1003.1.2.5.3] In de overe<strong>en</strong>komst<br />
tuss<strong>en</strong> de CSP <strong>en</strong> de abonnee wordt e<strong>en</strong> beding (e<strong>en</strong> bepaling als bedoeld in<br />
artikel 6:253 BW) opg<strong>en</strong>om<strong>en</strong> waarin de CSP zich sterk maakt voor e<strong>en</strong> op het<br />
certificaat vertrouw<strong>en</strong>de derde. Dit beding strekt tot e<strong>en</strong> aansprakelijkheid van<br />
de CSP overe<strong>en</strong>komstig artikel 6:196b, eerste tot <strong>en</strong> met derde lid, van het<br />
Burgerlijk Wetboek, met di<strong>en</strong> verstande dat:<br />
a. voor "e<strong>en</strong> gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss<br />
Telecommunicatiewet" gelez<strong>en</strong> wordt: "e<strong>en</strong> vertrouwelijkheidcertificaat";<br />
b. voor "ondertek<strong>en</strong>aar" gelez<strong>en</strong> wordt: "certificaathouder";<br />
c. voor "aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong>" gelez<strong>en</strong> wordt:<br />
"aanmak<strong>en</strong> van vercijferde data";<br />
d. Voor "verifiër<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong>" gelez<strong>en</strong> wordt:<br />
"ontcijfer<strong>en</strong> van vercijferde data".<br />
RFC 3647<br />
9.6.1 Aansprakelijkheid van CSP's<br />
Nummer 3<br />
ETSI<br />
QCP 6.4 <strong>en</strong> Annex A<br />
PKIo-OO<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2] De PA kan in e<strong>en</strong><br />
handtek<strong>en</strong>ingcertificaat beperking<strong>en</strong> t<strong>en</strong> aanzi<strong>en</strong> van het gebruik daarvan<br />
lat<strong>en</strong> opnem<strong>en</strong>, mits die beperking<strong>en</strong> voor derd<strong>en</strong> duidelijk zijn. De CSP is niet<br />
aansprakelijk voor schade die het gevolg is van het gebruik van e<strong>en</strong><br />
handtek<strong>en</strong>ingcertificaat in strijd met daarin overe<strong>en</strong>komstig de vorige volzin<br />
opg<strong>en</strong>om<strong>en</strong> beperking<strong>en</strong>.<br />
Opmerking<br />
Dit artikel is gebaseerd op BW art. 196b, lid3<br />
RFC 3647<br />
9.6.1 Aansprakelijkheid van CSP's<br />
Nummer 4<br />
ETSI<br />
QCP 6.4 <strong>en</strong> Annex A<br />
PKIo<br />
De CSP sluit alle aansprakelijkheid uit voor schade indi<strong>en</strong> het certificaat niet<br />
conform het in paragraaf 1.4 beschrev<strong>en</strong> certificaatgebruik wordt gebruikt.<br />
Pagina 42 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
9.8 Beperking<strong>en</strong> van aansprakelijkheid<br />
RFC 3647<br />
9.8 Beperking<strong>en</strong> van aansprakelijkheid<br />
Nummer 1<br />
ETSI QCP 6.4<br />
PKIo<br />
Het is de CSP niet toegestaan om binn<strong>en</strong> het toepassingsgebied van<br />
<strong>certificate</strong>n, zoals b<strong>en</strong>oemd in paragraaf 1.4 in deze CP, beperking<strong>en</strong> te stell<strong>en</strong><br />
aan het gebruik van <strong>certificate</strong>n.<br />
RFC 3647<br />
9.8 Beperking<strong>en</strong> van aansprakelijkheid<br />
Nummer 2<br />
ETSI QCP 6.4<br />
PKIo<br />
Het is de CSP niet toegestaan om binn<strong>en</strong> het toepassingsgebied van<br />
<strong>certificate</strong>n, zoals b<strong>en</strong>oemd in paragraaf 1.4 in deze CP, beperking<strong>en</strong> te stell<strong>en</strong><br />
aan de waarde van de transacties, waarvoor <strong>certificate</strong>n kunn<strong>en</strong> word<strong>en</strong><br />
gebruikt.<br />
9.12 Wijziging<strong>en</strong><br />
De wijzigingsprocedure voor het PVE van PKIoverheid is opg<strong>en</strong>om<strong>en</strong> in het<br />
Certificate Policy Statem<strong>en</strong>t van PKIoverheid. Het CPS kan in<br />
elektronische vorm word<strong>en</strong> verkreg<strong>en</strong> op de website van de PA:<br />
https://www.logius.nl/product<strong>en</strong>/toegang/pkioverheid/docum<strong>en</strong>tatie/cps/<br />
RFC 3647<br />
9.12.2 Notificatie van wijziging<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
In ETSI wordt dit onderwerp niet behandeld.<br />
PKIo<br />
Indi<strong>en</strong> e<strong>en</strong> gepubliceerde wijziging van het CP consequ<strong>en</strong>ties kan hebb<strong>en</strong> voor<br />
de eindgebruikers, zull<strong>en</strong> de CSP's de wijziging bek<strong>en</strong>d di<strong>en</strong><strong>en</strong> te mak<strong>en</strong> aan de<br />
bij h<strong>en</strong> geregistreerd zijnde abonnees <strong>en</strong>/of certificaathouders conform hun<br />
CPS.<br />
RFC 3647<br />
9.12.2 Notificatie van wijziging<strong>en</strong><br />
Nummer 2<br />
ETSI<br />
In ETSI wordt dit onderwerp niet behandeld.<br />
Pagina 43 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
PKIo<br />
De CSP di<strong>en</strong>t de PA informatie te verstrekk<strong>en</strong> over het voornem<strong>en</strong> de CAstructuur<br />
te wijzig<strong>en</strong>. Hierbij moet gedacht word<strong>en</strong> aan bijvoorbeeld de<br />
creatie van e<strong>en</strong> sub-CA.<br />
Deze CP <strong>en</strong> de geaccordeerde wijziging<strong>en</strong> hierop kunn<strong>en</strong> in elektronische<br />
vorm word<strong>en</strong> verkreg<strong>en</strong> via Internet op de website van de PA. Het adres<br />
hiervan is: http://www.logius.nl/pkioverheid.<br />
9.13 Geschill<strong>en</strong>beslechting<br />
RFC 3647<br />
9.13 Geschill<strong>en</strong>beslechting<br />
Nummer 1<br />
ETSI<br />
QCP 7.5.f<br />
PKIo<br />
De door de CSP gehanteerde klacht<strong>en</strong>afhandeling- <strong>en</strong><br />
geschill<strong>en</strong>beslechtingsprocedures mog<strong>en</strong> het instell<strong>en</strong> van e<strong>en</strong> procedure bij de<br />
gewone rechter niet belett<strong>en</strong>.<br />
9.14 Van toepassing zijnde wetgeving<br />
Op deze CP is het Nederlands recht van toepassing.<br />
9.17 Overige bepaling<strong>en</strong><br />
RFC 3647<br />
9.17 Overige bepaling<strong>en</strong><br />
Nummer 1<br />
ETSI<br />
In ETSI wordt dit onderwerp niet behandeld, aangezi<strong>en</strong> ETSI specifiek voor<br />
gekwalificeerde <strong>certificate</strong>n is opgesteld.<br />
PKIo-OO<br />
De CSP moet in staat zijn om alle onder [1.2] g<strong>en</strong>oemde typ<strong>en</strong><br />
persoonsgebond<strong>en</strong> <strong>certificate</strong>n uit te gev<strong>en</strong>.<br />
Als één of meerdere bepaling<strong>en</strong> van deze CP bij gerechtelijke uitspraak<br />
ongeldig of anderszins niet van toepassing wordt verklaard, laat dit de<br />
geldigheid <strong>en</strong> toepasselijkheid van alle overige bepaling<strong>en</strong> onverlet.<br />
Pagina 44 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Bijlage A Profiel<strong>en</strong> <strong>certificate</strong>n <strong>en</strong> certificaat<br />
Statusinformatie<br />
Profiel van het certificaat voor het domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong><br />
Organisatie<br />
Criteria<br />
Bij de beschrijving van de veld<strong>en</strong> <strong>en</strong> attribut<strong>en</strong> binn<strong>en</strong> e<strong>en</strong> certificaat<br />
word<strong>en</strong> de volg<strong>en</strong>de codes gebruikt:<br />
V : Verplicht; geeft aan dat het attribuut verplicht is <strong>en</strong> MOET word<strong>en</strong><br />
gebruikt in het certificaat.<br />
O : Optioneel; geeft aan dat het attribuut optioneel is <strong>en</strong> KAN word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> in het certificaat.<br />
A : Afgerad<strong>en</strong>; geeft aan dat het attribuut afgerad<strong>en</strong> wordt maar KAN<br />
word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> in het certificaat.<br />
N : Niet toegestaan; geeft aan dat gebruik van het attribuut in de PKI<br />
voor de overheid niet is toegestaan.<br />
Bij de ext<strong>en</strong>sies word<strong>en</strong> veld<strong>en</strong>/attribut<strong>en</strong> die volg<strong>en</strong>s de internationale<br />
standaard<strong>en</strong> critical zijn in de 'Critical' kolom met ja gemerkt om aan te<br />
gev<strong>en</strong> dat het betreff<strong>en</strong>de attribuut MOET word<strong>en</strong> gecontroleerd door<br />
middel van e<strong>en</strong> proces waarmee e<strong>en</strong> certificaat wordt geëvalueerd.<br />
Overige veld<strong>en</strong>/attribut<strong>en</strong> word<strong>en</strong> met nee gemerkt.<br />
Refer<strong>en</strong>ties<br />
1. Richtlijn 1999/93/EC van het Europees Parlem<strong>en</strong>t <strong>en</strong> van de Europese<br />
Ministerraad van 13 december 1999 betreff<strong>en</strong>de e<strong>en</strong> Europees<br />
raamwerk voor elektronische handtek<strong>en</strong>ing<strong>en</strong>.<br />
2. ITU-T Aanbeveling X.509 (1997) | ISO/IEC 9594-8: "Information<br />
Technology – Op<strong>en</strong> Systems Interconnection – The directory: Publickey<br />
and attribute <strong>certificate</strong> frameworks".<br />
3. ITU-T Aanbeveling X.520 (2001) ISO/IEC 9594-6: "Information<br />
Technology – Op<strong>en</strong> Systems Interconnection – The directory: Selected<br />
Attribute Types".<br />
4. RFC 2560: "X.509 Internet Public Key Infrastructure Online Certificate<br />
Status Protocol – OCSP".<br />
5. RFC 5280: "Internet X.509 Public Key Infrastructure Certificate and<br />
CRL Profile".<br />
6. RFC 3739: "Internet X.509 Public Key Infrastructure Qualified<br />
Certificates Profile".<br />
7. OID RA managem<strong>en</strong>t_PKI overheid – OID scheme.<br />
8. ETSI TS 101 862: "Qualified <strong>certificate</strong> profile", versie 1.3.3 (2006-<br />
01).<br />
9. ETSI TS 102 280 : "X.509 V.3 Certificate Profile for Certificates Issued<br />
to Natural Persons", versie 1.1.1 (2004-03).<br />
10. ETSI TS 102 176-1 : "Algorithms and Parameters for Secure Electronic<br />
Signatures; Part 1: Hash functions and asymmetric algorithms", versie<br />
2.0.0 (2007-11).<br />
11. ISO 3166 "English country names and code elem<strong>en</strong>ts".<br />
Algem<strong>en</strong>e eis<strong>en</strong><br />
Eindgebruiker<strong>certificate</strong>n MOETEN in overe<strong>en</strong>stemming zijn met de<br />
X.509v3 norm voor publieke sleutel <strong>certificate</strong>n. Algem<strong>en</strong>e eis<strong>en</strong> aan<br />
Pagina 45 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
<strong>certificate</strong>n staan in RFC 5280, specifieke eis<strong>en</strong> voor gekwalificeerde<br />
<strong>certificate</strong>n staan in RFC 3739.<br />
De [X.509] standaard staat e<strong>en</strong> onbeperkt uitbreid<strong>en</strong> van de<br />
attribut<strong>en</strong> binn<strong>en</strong> e<strong>en</strong> certificaat toe. I.v.m. interoperabiliteitseis<strong>en</strong> is<br />
het binn<strong>en</strong> de PKI voor de overheid niet toegestaan om deze te<br />
gebruik<strong>en</strong>. Alle<strong>en</strong> attribut<strong>en</strong> die in deze bijlage als Verplicht, Optioneel<br />
of Afgerad<strong>en</strong> word<strong>en</strong> aangeduid mog<strong>en</strong> gebruikt word<strong>en</strong>.<br />
Het certificaat voor de elektronische handtek<strong>en</strong>ing MOET voldo<strong>en</strong> aan<br />
het EESSI Qualified Certificate profiel (ETSI TS 101 862). Daar waar<br />
verschill<strong>en</strong> bestaan tuss<strong>en</strong> TS 101 862 <strong>en</strong> RFC 3739 heeft TS 101 862<br />
voorrang.<br />
Persoonsgebond<strong>en</strong> <strong>certificate</strong>n MOETEN voldo<strong>en</strong> aan de standaard<br />
ETSI TS 102 280 voor wat betreft het certificaatprofiel. Daar waar<br />
verschill<strong>en</strong> bestaan tuss<strong>en</strong> TS 102 280 <strong>en</strong> TS 101 862, RFC3739 of<br />
RFC 5280 heeft TS 102 280 voorrang.<br />
Naamconv<strong>en</strong>tie Subject.commonName<br />
De volg<strong>en</strong>de eis<strong>en</strong> geld<strong>en</strong> t<strong>en</strong> aanzi<strong>en</strong> van de CommonName van het<br />
Subject veld. Het belangrijkste uitgangspunt is dat de CSP<br />
verantwoordelijk is voor e<strong>en</strong> adequate vermelding van de CommonName.<br />
Dat betek<strong>en</strong>t dat voor e<strong>en</strong> goede uitvoering hiervan elk onderdeel dat<br />
wordt ingevoerd gecontroleerd moet kunn<strong>en</strong> word<strong>en</strong> door de CSP. De<br />
CommonName heeft de volg<strong>en</strong>de vorm 6 :<br />
[adellijk predicaat] [Volledige eerste voornaam] [initial<strong>en</strong> verdere<br />
voornam<strong>en</strong> OF volledige verdere voornam<strong>en</strong>] [tuss<strong>en</strong>voegsels +<br />
achternaam partner '-'] [adellijke titel] [tuss<strong>en</strong>voegsels +<br />
geboorteachternaam]<br />
waarbij:<br />
dikgedrukt = verplicht onderdeel, schrijfwijze conform WID docum<strong>en</strong>t of<br />
gepres<strong>en</strong>teerd GBA uittreksel<br />
cursief = verplicht onderdeel, keuze uit twee opties (volledige voornam<strong>en</strong><br />
of initial<strong>en</strong>)<br />
normaal = optioneel onderdeel; indi<strong>en</strong> vermeld moet schrijfwijze gelijk<br />
zijn aan WID docum<strong>en</strong>t of gepres<strong>en</strong>teerd GBA uittreksel<br />
Keuze voor wel of niet toestaan van optionele onderdel<strong>en</strong> ligt in principe<br />
bij de CSP. Deze kan indi<strong>en</strong> gew<strong>en</strong>st de keuze voor e<strong>en</strong> optie overlat<strong>en</strong><br />
aan de abonnee of de certificaataanvrager. Indi<strong>en</strong> de Commonname te<br />
lang wordt voor het aantal toegestane tek<strong>en</strong>s, di<strong>en</strong><strong>en</strong> optionele<br />
onderdel<strong>en</strong> te word<strong>en</strong> weggelat<strong>en</strong> (beginn<strong>en</strong>d met het van achter naar<br />
vor<strong>en</strong> vervang<strong>en</strong> van verdere voornam<strong>en</strong> door initial<strong>en</strong>) tot de naam past<br />
binn<strong>en</strong> de maximale veldl<strong>en</strong>gte.<br />
6 De getoonde volgorde is niet verplicht, het is ook toegestaan eerst achternam<strong>en</strong> te vermeld<strong>en</strong> <strong>en</strong> dan<br />
pas voornam<strong>en</strong> / initial<strong>en</strong>.<br />
Pagina 46 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Persoonsgebond<strong>en</strong> <strong>certificate</strong>n<br />
Basisattribut<strong>en</strong><br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
Version V MOET ingesteld word<strong>en</strong> op 2 (X.509v3). RFC 5280 Integer Beschrijft de versie van het certificaat, de waarde 2 staat voor X.509<br />
versie 3.<br />
SerialNumber V E<strong>en</strong> seri<strong>en</strong>ummer dat op unieke wijze het<br />
certificaat binn<strong>en</strong> het uitgev<strong>en</strong>de CA<br />
domein MOET id<strong>en</strong>tificer<strong>en</strong>.<br />
RFC 5280 Integer Alle eindgebruiker <strong>certificate</strong>n moet<strong>en</strong> t<strong>en</strong>minste 8 bytes aan niet te<br />
voorspell<strong>en</strong> willekeurige data bevatt<strong>en</strong> in het seri<strong>en</strong>ummer<br />
(SerialNumber) van het certificaat.<br />
Signature V MOET word<strong>en</strong> ingesteld op het algoritme,<br />
RFC 5280, ETSI<br />
OID<br />
MOET gelijk zijn aan het veld signatureAlgorithm. T<strong>en</strong> behoeve van<br />
zoals deze door de PA is bepaald.<br />
TS 102176<br />
maximale interoperabiliteit wordt voor <strong>certificate</strong>n onder het G1<br />
stamcertificaat alle<strong>en</strong> sha-1WithRSAEncryption toegestaan. Vanaf 01-01-<br />
2011 MAG de CSP alle<strong>en</strong> in zeer uitzonderlijke situaties nog e<strong>en</strong> certificaat<br />
op basis van sha-1WithRSAEncryption onder het G1 stamcertificaat<br />
uitgev<strong>en</strong>. Dit certificaat MOET e<strong>en</strong> 2048 bit RSA sleutel bevatt<strong>en</strong>. Dit<br />
certificaat MAG maar maximaal geldig zijn tot <strong>en</strong> met 31-12-2011. Voor<br />
<strong>certificate</strong>n onder het G2 stamcertificaat wordt alle<strong>en</strong> sha-<br />
256WithRSAEncryption toegestaan.<br />
Issuer V MOET e<strong>en</strong> Distinguished Name (DN) bevat-<br />
PKIo, RFC3739,<br />
Andere attribut<strong>en</strong> dan hieronder g<strong>en</strong>oemd MOGEN NIET word<strong>en</strong> gebruikt.<br />
t<strong>en</strong>. Veld heeft de onderstaande attribut<strong>en</strong><br />
ETSI TS 102280<br />
De attribut<strong>en</strong> die word<strong>en</strong> gebruikt MOETEN gelijk zijn aan de gelijknamige<br />
attribut<strong>en</strong> in het Subject veld van het CSP certificaat (t<strong>en</strong> behoeve van<br />
validatie).<br />
Issuer.countryName V MOET de landcode bevatt<strong>en</strong> van het land<br />
ETSI TS101862,<br />
Printable String<br />
C = NL voor CSP's gevestigd in Nederland.<br />
waar de uitgev<strong>en</strong>de organisatie van het<br />
X520, ISO 3166<br />
certificaat is gevestigd.<br />
Issuer.stateOrProvinceName N Gebruik is niet toegestaan. PKIo UTF8String -<br />
Pagina 47 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
Issuer.OrganizationName V Volledige naam conform geaccepteerd<br />
ETSI TS 102280<br />
UTF8String<br />
docum<strong>en</strong>t of basisregistratie<br />
Issuer. organizationalUnitName O Optionele aanduiding van e<strong>en</strong> organi-<br />
ETSI TS 102280:<br />
UTF8String<br />
Meerdere instanties van dit attribuut MOGEN gebruikt word<strong>en</strong>.<br />
satieonderdeel. Dit veld MAG NIET e<strong>en</strong><br />
5.2.4<br />
functieaanduiding of dergelijke bevatt<strong>en</strong>.<br />
Wel ev<strong>en</strong>tueel de typ<strong>en</strong> <strong>certificate</strong>n die<br />
word<strong>en</strong> ondersteund.<br />
Issuer.localityName N Gebruik is niet toegestaan. PKIo UTF8String -<br />
Issuer.serialNumber O MOET, conform RFC 3739, word<strong>en</strong> gebruikt<br />
indi<strong>en</strong> e<strong>en</strong>duidige naamgeving dit vereist<br />
RFC 3739<br />
Printable String<br />
Issuer.commonName V MOET de naam van de CA te bevatt<strong>en</strong><br />
conform geaccepteerd docum<strong>en</strong>t of<br />
basisregistratie, optioneel aangevuld met<br />
de Domein aanduiding <strong>en</strong>/of de typ<strong>en</strong><br />
certificaat die word<strong>en</strong> ondersteund<br />
PKIo, RFC 3739 UTF8String Het commonName attribuut MAG NIET nodig zijn om de uitgev<strong>en</strong>de<br />
instantie te id<strong>en</strong>tificer<strong>en</strong> (ge<strong>en</strong> onderdeel van de Distinguished Name, eis<br />
uit RFC 3739)<br />
Validity V MOET de geldigheidsperiode (validity) van<br />
het certificaat definiër<strong>en</strong> volg<strong>en</strong>s RFC 5280.<br />
RFC 5280 UTCTime MOET begin- <strong>en</strong> einddatum bevatt<strong>en</strong> voor geldigheid van het certificaat<br />
conform het van toepassing zijnde beleid vastgelegd in het CPS.<br />
Subject V De attribut<strong>en</strong> die word<strong>en</strong> gebruikt om het<br />
subject (eindgebruiker) te beschrijv<strong>en</strong><br />
MOETEN het subject op unieke wijze<br />
b<strong>en</strong>oem<strong>en</strong> <strong>en</strong> gegev<strong>en</strong>s bevatt<strong>en</strong> over de<br />
abonnee. Veld heeft de onderstaande<br />
attribut<strong>en</strong>.<br />
PKIo, RFC3739,<br />
ETSI TS 102 280<br />
MOET e<strong>en</strong> Distinguished Name (DN) bevatt<strong>en</strong>. Andere attribut<strong>en</strong> dan<br />
hieronder g<strong>en</strong>oemd MOGEN NIET word<strong>en</strong> gebruikt.<br />
Subject.countryName V C vull<strong>en</strong> met tweeletterige landcode RFC 3739, X520, Printable String De landcode die wordt gehanteerd in Subject.countryName MOET in<br />
Pagina 48 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
conform ISO 3166-1. Indi<strong>en</strong> e<strong>en</strong> officiële<br />
ISO 3166, PKIo<br />
overe<strong>en</strong>stemming zijn met het adres van de abonnee volg<strong>en</strong>s<br />
alpha-2 code ontbreekt, MAG de CSP de<br />
geaccepteerd docum<strong>en</strong>t of registratie.<br />
user-assigned code XX gebruik<strong>en</strong>.<br />
Subject.commonName V Het commonName attribuut MOET word<strong>en</strong><br />
RFC 3739, ETSI<br />
UTF8String<br />
Zie bij naamconv<strong>en</strong>tie Subject.commonName.<br />
ingevoerd conform de paragraaf Naamcon-<br />
TS 102 280,<br />
v<strong>en</strong>tie Subject.commonName hierbov<strong>en</strong>.<br />
PKIo<br />
Subject.Surname A E<strong>en</strong> juiste weergave van de in het CN<br />
vastgelegde elem<strong>en</strong>t van de naam.<br />
Gebaseerd op WID docum<strong>en</strong>t.<br />
RFC 3739 UTF8String Het gebruik van dit veld wordt afgerad<strong>en</strong>. Indi<strong>en</strong> dit veld wordt gebruikt<br />
MOET het e<strong>en</strong> juiste weergave te zijn van de achternaam van het subject,<br />
inclusief tuss<strong>en</strong>voegsels. De surname MAG NIET in strijd zijn met de<br />
informatie in de commonname<br />
Subject.giv<strong>en</strong>Name A E<strong>en</strong> juiste weergave van de in het CN<br />
vastgelegde elem<strong>en</strong>t van de naam.<br />
Gebaseerd op WID docum<strong>en</strong>t.<br />
RFC 3739 UTF8String Het gebruik van dit veld wordt afgerad<strong>en</strong>. Indi<strong>en</strong> dit veld wordt gebruikt<br />
MOET het e<strong>en</strong> juiste weergave te zijn van de voorna(a)m(<strong>en</strong>) van het<br />
subject. De giv<strong>en</strong>Name MAG NIET in strijd zijn met de informatie in de<br />
commonname.<br />
Subject.pseudonym N Het gebruik van pseudoniem<strong>en</strong> is niet<br />
toegestaan.<br />
ETSI TS 102<br />
280, RFC 3739,<br />
PKIo<br />
Subject.organizationName V Volledige naam van de abonnee conform<br />
geaccepteerd docum<strong>en</strong>t of Basisregistratie<br />
PKIo UTF8String De abonnee is de <strong>en</strong>titeit waarmee de CSP e<strong>en</strong> overe<strong>en</strong>komst heeft<br />
geslot<strong>en</strong> <strong>en</strong> nam<strong>en</strong>s welke of uit hoofde van wie, de certificaathouder<br />
handelt bij het gebruik van het certificaat.<br />
Subject.organizationalUnitName O Optionele aanduiding van e<strong>en</strong> organisatieonderdeel.<br />
Dit attribuut MAG NIET e<strong>en</strong><br />
functieaanduiding of dergelijke bevatt<strong>en</strong>.<br />
PKIo<br />
Dit attribuut MAG bij organisatiegebond<strong>en</strong> certificaathouders meerdere<br />
mal<strong>en</strong> voorkom<strong>en</strong>. Het veld MOET e<strong>en</strong> geldige naam van e<strong>en</strong><br />
organisatieonderdeel van de abonnee bevatt<strong>en</strong> conform geaccepteerd docum<strong>en</strong>t<br />
of registratie. Bij beroepsgebond<strong>en</strong> certificaathouders MAG dit<br />
attribuut NIET word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>.<br />
Pagina 49 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
Subject.stateOrProvinceName A Het gebruik wordt afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig MOET dit veld de provincie van<br />
vestiging van de abonnee conform geaccepteerd<br />
docum<strong>en</strong>t of Basisregistratie te<br />
bevatt<strong>en</strong>.<br />
PKIo, RFC 3739 UTF8String Naam van de provincie MOET in overe<strong>en</strong>stemming zijn met het adres van<br />
de abonnee volg<strong>en</strong>s geaccepteerd docum<strong>en</strong>t of registratie.<br />
Subject.localityName A Het gebruik wordt afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig MOET dit veld de vestigingsplaats<br />
van de abonnee conform geaccepteerd<br />
docum<strong>en</strong>t of Basisregistratie te bevatt<strong>en</strong>.<br />
PKIo, RFC 3739 UTF8String Naam van de vestigingsplaats MOET in overe<strong>en</strong>stemming zijn met het<br />
adres van de abonnee volg<strong>en</strong>s geaccepteerd docum<strong>en</strong>t of registratie.<br />
Subject.postalAddress A Het gebruik wordt afgerad<strong>en</strong>. Indi<strong>en</strong><br />
aanwezig MOET dit veld het postadres van<br />
de abonnee conform geaccepteerd<br />
docum<strong>en</strong>t of Basisregistratie te bevatt<strong>en</strong>.<br />
PKIo, RFC 3739 UTF8String Adres MOET in overe<strong>en</strong>stemming zijn met het adres van de abonnee<br />
volg<strong>en</strong>s geaccepteerd docum<strong>en</strong>t of registratie.<br />
Subject.emailAddress N Gebruik is niet toegestaan. RFC 5280 IA5String Dit veld MAG NIET word<strong>en</strong> gebruikt in nieuwe <strong>certificate</strong>n.<br />
Subject.serialNumber V Door de CSP te bepal<strong>en</strong> nummer. De<br />
RFC 3739, X<br />
Printable String<br />
Het serialnumber is bedoeld om onderscheid te kunn<strong>en</strong> mak<strong>en</strong> tuss<strong>en</strong><br />
combinatie van CommonName, Orga-<br />
520, PKIo<br />
subjects met dezelfde commonName <strong>en</strong> dezelfde OrganizationName. Om<br />
nizationName <strong>en</strong> Serialnumber MOET<br />
gevoelighed<strong>en</strong> te vermijd<strong>en</strong> MOET aan elk subject e<strong>en</strong> serialNumber<br />
binn<strong>en</strong> de context van de CSP uniek zijn.<br />
attribuut word<strong>en</strong> toegek<strong>en</strong>d.<br />
Subject.title O Bevat de positie/functie/beroep(sgroep)<br />
ETSI TS 102<br />
Dit attribuut vermeldt bij voorkeur statische, toetsbare beroepstitels (arts,<br />
van e<strong>en</strong> subject.<br />
280, RFC 3739,<br />
apotheker etc.), NIET de aanspreektitel (Dhr., mw., etc.).<br />
RFC 5280<br />
subjectPublicKeyInfo V Bevat o.a. de publieke sleutel. ETSI TS 102<br />
280, RFC 3279<br />
Bevat de publieke sleutel, id<strong>en</strong>tificeert het algoritme waarmee de sleutel<br />
kan word<strong>en</strong> gebruikt.<br />
IssuerUniqueId<strong>en</strong>tifier N Wordt niet gebruikt. RFC 5280 Gebruik hiervan is niet toegestaan (RFC 5280)<br />
Pagina 50 van 88
Criteria<br />
Critical<br />
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
subjectUniquId<strong>en</strong>tifier N Wordt niet gebruikt. RFC 5280 Gebruik hiervan is niet toegestaan (RFC 5280)<br />
Standaard ext<strong>en</strong>sies<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
authorityKeyId<strong>en</strong>tifier V Nee Het algoritme om de AuthorityKey te<br />
ETSI TS 102<br />
BitString<br />
De waarde MOET de SHA-1 hash van de authorityKey (publieke<br />
g<strong>en</strong>erer<strong>en</strong> MOET word<strong>en</strong> ingesteld op e<strong>en</strong><br />
280, RFC 5280<br />
sleutel van de CSP/CA) bevatt<strong>en</strong>.<br />
algoritme zoals door de PA is bepaald.<br />
SubjectKeyId<strong>en</strong>tifier V Nee Het algoritme om de subjectKey te<br />
g<strong>en</strong>erer<strong>en</strong> MOET word<strong>en</strong> ingesteld op e<strong>en</strong><br />
algoritme zoals door de PA is bepaald.<br />
RFC 5280 BitString De waarde MOET de SHA-1 hash van de subjectKey (publieke<br />
sleutel van de certificaathouder) bevatt<strong>en</strong>.<br />
KeyUsage V Ja Dit attribuut ext<strong>en</strong>sie specificeert het<br />
beoogde doel van de in het certificaat<br />
opg<strong>en</strong>om<strong>en</strong> sleutel. In de PKI voor de<br />
overheid zijn per certificaatsoort verschill<strong>en</strong>de<br />
bits opg<strong>en</strong>om<strong>en</strong> in the keyUsage<br />
ext<strong>en</strong>sie.<br />
RFC 3739, RFC<br />
5280, ETSI TS<br />
102 280<br />
BitString<br />
In auth<strong>en</strong>ticiteit<strong>certificate</strong>n MOET het<br />
digitalSignature bit zijn opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> zijn<br />
aangemerkt als ess<strong>en</strong>tieel. E<strong>en</strong> ander<br />
keyUsage MAG hiermee NIET word<strong>en</strong><br />
gecombineerd.<br />
Pagina 51 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
In vertrouwelijkheid<strong>certificate</strong>n MOETEN<br />
keyEncipherm<strong>en</strong>t <strong>en</strong> dataEncipherm<strong>en</strong>t bits<br />
zijn opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> zijn aangemerkt als<br />
ess<strong>en</strong>tieel. Optioneel MAG dit word<strong>en</strong><br />
gecombineerd met het keyAgreem<strong>en</strong>t bit.<br />
E<strong>en</strong> ander keyUsage MAG hiermee NIET<br />
word<strong>en</strong> gecombineerd.<br />
In <strong>certificate</strong>n voor de elektronische<br />
handtek<strong>en</strong>ing MOET het non-repudiation bit<br />
zijn opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> zijn aangemerkt als<br />
ess<strong>en</strong>tieel. E<strong>en</strong> ander keyUsage MAG<br />
hiermee NIET word<strong>en</strong> gecombineerd.<br />
privateKeyUsagePeriod N Wordt niet gebruikt. RFC 5280<br />
CertificatePolicies V Nee MOET de OID bevatt<strong>en</strong> van de <strong>certificate</strong><br />
RFC 3739<br />
OID, String,<br />
Voor domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> zijn de OID's:<br />
<strong>policy</strong> (CP), de URI van het certification<br />
String<br />
2.16.528.1.1003.1.2.2.1,<br />
practice statem<strong>en</strong>t (CPS), <strong>en</strong> e<strong>en</strong><br />
2.16.528.1.1003.1.2.2.2 <strong>en</strong><br />
gebruikersnotitie. Het te gebruik<strong>en</strong> OID<br />
2.16.528.1.1003.1.2.2.3.<br />
schema in de PKI voor de overheid wordt<br />
beschrev<strong>en</strong> in de CP.<br />
Voor het domein Organisatie zijn de OID's:<br />
2.16.528.1.1003.1.2.5.1,<br />
2.16.528.1.1003.1.2.5.2 <strong>en</strong><br />
2.16.528.1.1003.1.2.5.3.<br />
Verwijz<strong>en</strong> naar paragraafnummers van het PvE / CP in de<br />
gebruikersnotitie wordt afgerad<strong>en</strong> omdat persist<strong>en</strong>tie hiervan niet<br />
kan word<strong>en</strong> gegarandeerd (in teg<strong>en</strong>stelling tot het OID nummer<br />
van de CP).<br />
Pagina 52 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
Indi<strong>en</strong> het e<strong>en</strong> beroepsgebond<strong>en</strong> certificaat betreft, verdi<strong>en</strong>t het<br />
voorkeur in de gebruikersnotitie melding te mak<strong>en</strong> van het feit dat<br />
de certificaathouder handelt uit hoofde van di<strong>en</strong>s beroep.<br />
PolicyMappings N Wordt niet gebruikt. Deze ext<strong>en</strong>sie wordt niet gebruikt in eindgebruiker<strong>certificate</strong>n<br />
SubjectAltName V Nee MOET word<strong>en</strong> gebruikt <strong>en</strong> voorzi<strong>en</strong> zijn van<br />
RFC 4043, RFC<br />
MOET e<strong>en</strong> unieke id<strong>en</strong>tifier bevatt<strong>en</strong> in het othername attribuut.<br />
e<strong>en</strong> persoonlijk wereldwijd uniek nummer.<br />
5280, PKIo, ETSI<br />
Andere attribut<strong>en</strong> dan hieronder g<strong>en</strong>oemd MOGEN NIET word<strong>en</strong><br />
102 280<br />
gebruikt.<br />
SubjectAltName.otherName V MOET word<strong>en</strong> gebruikt met daarin e<strong>en</strong><br />
PKIo<br />
IA5String, Mi-<br />
Bevat e<strong>en</strong> door PKIoverheid aan de CSP toegewez<strong>en</strong> OID van de<br />
uniek nummer dat de certificaathouder<br />
crosoft UPN, IBM<br />
CSP <strong>en</strong> e<strong>en</strong> binn<strong>en</strong> de namespace van die OID uniek nummer dat<br />
id<strong>en</strong>tificeert.<br />
Principal-Name,<br />
blijv<strong>en</strong>d het subject id<strong>en</strong>tificeert, op e<strong>en</strong> van de volg<strong>en</strong>de<br />
Kerberos<br />
manier<strong>en</strong>:<br />
In het auth<strong>en</strong>ticatiecertificaat MAG<br />
PrincipalName of<br />
daarnaast nog e<strong>en</strong> othername word<strong>en</strong><br />
Perman<strong>en</strong>t-Id<strong>en</strong>-<br />
1. MS UPN: [nummer]@[OID]<br />
opg<strong>en</strong>om<strong>en</strong> voor gebruik met (Single Sign<br />
tifier<br />
2. MS UPN: [OID].[nummer]<br />
On (SSO).<br />
3. IA5String: [OID]-[nummer]<br />
4. Perman<strong>en</strong>t Id<strong>en</strong>tifier:<br />
Id<strong>en</strong>tifiervalue = [nummer]<br />
Assigner = [OID]<br />
Variant 1. is tev<strong>en</strong>s geschikt voor SSO. Als er e<strong>en</strong> tweede othername<br />
voor SSO in het certificaat staat MOET de SSO othername als<br />
eerste in de SubjectAltName te staan, vóór de hierbov<strong>en</strong><br />
beschrev<strong>en</strong> PKIoverheid formaat othername, t<strong>en</strong>einde e<strong>en</strong> goede<br />
werking van het SSO mechanisme te waarborg<strong>en</strong>. Het is aan te<br />
bevel<strong>en</strong> e<strong>en</strong> bestaand registrati<strong>en</strong>ummer uit backoffice system<strong>en</strong><br />
te gebruik<strong>en</strong> zoals e<strong>en</strong> personeelsnummer in combinatie met e<strong>en</strong><br />
code voor de organisatie. In combinatie met de CSP OID is deze<br />
Pagina 53 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
id<strong>en</strong>tifier wereldwijd uniek. Dit nummer MOET persist<strong>en</strong>t te zijn.<br />
SubjectAltName.rfc822Name A MAG word<strong>en</strong> gebruikt voor het e-mail adres<br />
van de certificaathouder, t<strong>en</strong> behoeve van<br />
applicaties die het e-mail adres nodig<br />
hebb<strong>en</strong> om goed te functioner<strong>en</strong>.<br />
RFC 5280 IA5String Voor PKIoverheid <strong>certificate</strong>n in domein <strong>Overheid</strong>/<strong>Bedrijv<strong>en</strong></strong> <strong>en</strong><br />
Organisatie wordt het gebruik van e-mail adress<strong>en</strong> afgerad<strong>en</strong>,<br />
omdat e-mail adress<strong>en</strong> van certificaathouders vaak wissel<strong>en</strong> <strong>en</strong><br />
bov<strong>en</strong>di<strong>en</strong> privacygevoelig zijn (spam).<br />
Als het e-mail adres wel in het certificaat wordt opg<strong>en</strong>om<strong>en</strong> MOET<br />
de CSP:<br />
de abonnee hiervoor akkoord lat<strong>en</strong> tek<strong>en</strong><strong>en</strong> <strong>en</strong>;<br />
controler<strong>en</strong> of het e-mail adres behoort tot het domein van de<br />
abonnee of;<br />
controler<strong>en</strong> of het mailadres behoort aan de abonnee (b.v. de<br />
beroepsbeoef<strong>en</strong>aar) <strong>en</strong> deze toegang heeft tot het mailadres<br />
(bijvoorbeeld door het uitvoer<strong>en</strong> van e<strong>en</strong> chall<strong>en</strong>ge response).<br />
IssuerAltName N Wordt niet gebruikt. RFC 5280<br />
subjectDirectoryAttributes O RFC 5280; RFC<br />
3739<br />
Het gebruik van deze ext<strong>en</strong>sie is toegestaan. Deze attribut<strong>en</strong><br />
MOGEN GEEN persoonsgegev<strong>en</strong>s bevatt<strong>en</strong> die de privacy van het<br />
subject kunn<strong>en</strong> schad<strong>en</strong>.<br />
BasicConstraints O Ja Het "CA" veld MOET op "FALSE" staan of<br />
word<strong>en</strong> weggelat<strong>en</strong> (default waarde is dan<br />
"FALSE").<br />
RFC 5280<br />
In e<strong>en</strong> (Nederlandstalige) browser zal dan te zi<strong>en</strong> zijn:<br />
"Subjecttype = Eind<strong>en</strong>titeit", "Beperking voor padl<strong>en</strong>gte = Ge<strong>en</strong>"<br />
NameConstraints N Wordt niet gebruikt. RFC 5280 Wordt niet gebruikt in eindgebruiker <strong>certificate</strong>n.<br />
PolicyConstraints N Wordt niet gebruikt. RFC 5280 Wordt niet gebruikt in eindgebruiker <strong>certificate</strong>n.<br />
Pagina 54 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
CRLDistributionPoints V Nee MOET de URI van e<strong>en</strong> CRL distributiepunt<br />
bevatt<strong>en</strong>.<br />
RFC 5280, ETSI<br />
TS 102 280<br />
De aanwezige refer<strong>en</strong>tie MOET via http of ldap protocol<br />
toegankelijk zijn. Het attribuut Reason MAG NIET word<strong>en</strong> gebruikt,<br />
er MOET naar 1 CRL word<strong>en</strong> verwez<strong>en</strong> voor alle soort<strong>en</strong> intrekkingsred<strong>en</strong><strong>en</strong>.<br />
Naast CRL MOGEN ook andere vorm<strong>en</strong> van<br />
certificaatstatus informatiedi<strong>en</strong>st<strong>en</strong> word<strong>en</strong> ondersteund.<br />
ExtKeyUsage O /<br />
Nee<br />
ExtKeyUsage MAG NIET word<strong>en</strong> gebruikt in<br />
RFC 5280 KeyPurposeId's Indi<strong>en</strong> gebruikt, zijn de volg<strong>en</strong>de voorwaard<strong>en</strong> all<strong>en</strong> van kracht.<br />
N<br />
<strong>certificate</strong>n voor de elektronische<br />
E<strong>en</strong> ExtKeyUsage:<br />
handtek<strong>en</strong>ing.<br />
MAG NIET word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> in <strong>certificate</strong>n voor de<br />
elektronische handtek<strong>en</strong>ing [OID<br />
In andere <strong>certificate</strong>n is, voor de<br />
2.16.528.1.1003.1.2.2.2 <strong>en</strong> 2.16.528.1.1003.1.2.5.2];<br />
ondersteuning van bepaalde toepassing<strong>en</strong>,<br />
MAG word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> in elk ander certificaat;<br />
het gebruik van ExtKeyUsage toegestaan.<br />
MAG NIET als critical word<strong>en</strong> aangemerkt;<br />
MOET minimaal e<strong>en</strong> (1) KeyPurposeId bevatt<strong>en</strong>.<br />
Elke in e<strong>en</strong> ExtKeyUsage opg<strong>en</strong>om<strong>en</strong> KeyPurposeId:<br />
MAG NIET strijdig zijn met de KeyUsage ext<strong>en</strong>sie;<br />
MOET toepasselijk zijn op de soort certificaathouder;<br />
MOET gedefinieerd zijn in e<strong>en</strong> wereldwijd erk<strong>en</strong>de<br />
standaard, zoals e<strong>en</strong> RFC.<br />
InhibitAnyPolicy N Wordt niet gebruikt. RFC 5280 Wordt niet gebruikt in eindgebruiker <strong>certificate</strong>n.<br />
FreshestCRL O Nee MOET de URI van e<strong>en</strong> Delta-CRL distributiepunt<br />
bevatt<strong>en</strong>, indi<strong>en</strong> gebruik wordt<br />
gemaakt van Delta-CRL's.<br />
RFC 5280, PKIo<br />
Delta-CRL's zijn e<strong>en</strong> optionele uitbreiding. Om aan de eis<strong>en</strong> van<br />
PKIoverheid te voldo<strong>en</strong> MOET e<strong>en</strong> CSP tev<strong>en</strong>s volledige CRL's publicer<strong>en</strong><br />
met de geëiste uitgiftefrequ<strong>en</strong>tie.<br />
Pagina 55 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Private ext<strong>en</strong>sies<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
authorityInfoAccess O Nee Dit attribuut MOET de URI van e<strong>en</strong> OCSP responder<br />
bevatt<strong>en</strong> als Online Certificate Status<br />
Protocol (OCSP) e<strong>en</strong> rol speelt.<br />
Dit veld kan verder optioneel gebruikt word<strong>en</strong> om te verwijz<strong>en</strong> naar<br />
andere aanvull<strong>en</strong>de informatie over de CSP.<br />
SubjectInfoAccess O Nee RFC 5280 OID, G<strong>en</strong>eralname<br />
Dit veld kan gebruikt word<strong>en</strong> om te verwijz<strong>en</strong> naar aanvull<strong>en</strong>de<br />
informatie over het subject, mits de aangebod<strong>en</strong> informatie ge<strong>en</strong><br />
inbreuk maakt op de privacy van het subject.<br />
BiometricInfo O Nee Bevat de hash van e<strong>en</strong> biometrische<br />
template <strong>en</strong> optioneel e<strong>en</strong> URI die verwijst<br />
naar e<strong>en</strong> bestand met de biometrische template<br />
zelf.<br />
RFC 3739<br />
QcStatem<strong>en</strong>t V/<br />
N<br />
Nee<br />
Certificat<strong>en</strong> voor de elektronische<br />
handtek<strong>en</strong>ing MOETEN aangev<strong>en</strong> dat zij zijn<br />
uitgegev<strong>en</strong> als gekwalificeerde <strong>certificate</strong>n<br />
overe<strong>en</strong>stemm<strong>en</strong>d met annex I <strong>en</strong> annex II<br />
van de Europese Richtlijn. Deze<br />
overe<strong>en</strong>stemming wordt aangegev<strong>en</strong> door<br />
het opnem<strong>en</strong> van de id-etsi-qcs-<br />
QcCompliance statem<strong>en</strong>t in deze ext<strong>en</strong>sie.<br />
RFC 3739, ETSI<br />
TS 102 280,<br />
ETSI TS 101 862<br />
OID<br />
De g<strong>en</strong>oemde QcStatem<strong>en</strong>t id<strong>en</strong>tifiers betreff<strong>en</strong> de volg<strong>en</strong>de OIDs:<br />
id-etsi-qcs-QcCompliance { id-etsi-qcs 1 } 0.4.0.1862.1.1<br />
id-etsi-qcs-QcSSCD { id-etsi-qcs 4 } 0.4.0.1862.1.4<br />
Certificat<strong>en</strong> voor de elektronische<br />
handtek<strong>en</strong>ing MOGEN aangev<strong>en</strong> dat de<br />
private sleutel behor<strong>en</strong>de bij de publieke<br />
sleutel in het certificaat is opgeslag<strong>en</strong> op<br />
e<strong>en</strong> secure signature-creation device<br />
(SSCD) overe<strong>en</strong>stemm<strong>en</strong>d met annex III<br />
van de Europese Richtlijn. Deze<br />
overe<strong>en</strong>stemming wordt aangegev<strong>en</strong> door<br />
het (additioneel) opnem<strong>en</strong> van de id-etsiqcs-QcSSCD<br />
statem<strong>en</strong>t in deze ext<strong>en</strong>sie.<br />
Pagina 56 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refe-<br />
Type<br />
Toelichting<br />
r<strong>en</strong>tie<br />
De <strong>certificate</strong>n voor auth<strong>en</strong>ticiteit <strong>en</strong> de<br />
<strong>certificate</strong>n voor vertrouwelijkheid MOGEN<br />
deze ext<strong>en</strong>sie NIET gebruik<strong>en</strong>.<br />
Pagina 57 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Profiel van de CRL<br />
Algem<strong>en</strong>e eis<strong>en</strong> aan de CRL<br />
De CRL's moet<strong>en</strong> voldo<strong>en</strong> aan de X.509v3 standaard voor publieke sleutel <strong>certificate</strong>n <strong>en</strong> CRL's.<br />
E<strong>en</strong> CRL bevat informatie over ingetrokk<strong>en</strong> <strong>certificate</strong>n die binn<strong>en</strong> de huidige geldigheidsperiode vall<strong>en</strong> of waarvan de geldigheidsperiode minder dan<br />
6 maand<strong>en</strong> geled<strong>en</strong> is verlop<strong>en</strong> (conform Wet Elektronische Handtek<strong>en</strong>ing<strong>en</strong>).<br />
CRL attribut<strong>en</strong><br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refer<strong>en</strong>tie<br />
Type Toelichting<br />
1<br />
Version V MOET ingesteld word<strong>en</strong> op 1 (X.509v2 CRL<br />
profiel).<br />
RFC 5280 Integer Beschrijft de versie van het CRL profiel, waarde 1 staat voor X.509 versie<br />
2.<br />
Signature V MOET word<strong>en</strong> ingesteld op het algoritme,<br />
zoals deze door de PA is bepaald.<br />
RFC 5280 OID MOET gelijk zijn aan het veld signatureAlgorithm. T<strong>en</strong> behoeve van<br />
maximale interoperabiliteit wordt voor <strong>certificate</strong>n onder het G1<br />
stamcertificaat alle<strong>en</strong> sha-1WithRSAEncryption toegestaan. Voor<br />
<strong>certificate</strong>n onder het G2 stamcertificaat wordt alle<strong>en</strong> sha-<br />
256WithRSAEncryption toegestaan.<br />
Issuer V MOET e<strong>en</strong> Distinguished Name (DN) bevatt<strong>en</strong>.<br />
Veld heeft attribut<strong>en</strong> zoals beschrev<strong>en</strong><br />
in de volg<strong>en</strong>de rij<strong>en</strong>.<br />
PKIo, RFC 5280<br />
Andere attribut<strong>en</strong> dan hieronder g<strong>en</strong>oemd MOGEN NIET word<strong>en</strong> gebruikt.<br />
De attribut<strong>en</strong> die word<strong>en</strong> gebruikt MOETEN gelijk zijn aan de gelijknamige<br />
attribut<strong>en</strong> in het Subject veld van het CSP certificaat (t<strong>en</strong> behoeve van<br />
validatie).<br />
Issuer.countryName V MOET de landcode bevatt<strong>en</strong> van het land<br />
waar de uitgev<strong>en</strong>de organisatie van het<br />
certificaat is gevestigd.<br />
ISO3166, X.520 Printable String<br />
C = NL voor CSP's gevestigd in Nederland.<br />
Issuer.stateOrProvinceName N Wordt niet gebruikt. PKIo UTF8String -<br />
Issuer.OrganizationName V Volledige naam conform geaccepteerd<br />
docum<strong>en</strong>t of basisregistratie<br />
ETSI TS<br />
102280: 5.2.4<br />
UTF8String<br />
Pagina 58 van 88
Criteria<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refer<strong>en</strong>tie<br />
Type Toelichting<br />
1<br />
Issuer.organizationalUnitName O Optionele aanduiding van e<strong>en</strong> organi-<br />
ETSI TS<br />
UTF8String<br />
Meerdere instanties van dit attribuut MOGEN gebruikt word<strong>en</strong>.<br />
satieonderdeel. Dit veld MAG NIET e<strong>en</strong><br />
102280: 5.2.4<br />
functieaanduiding of dergelijke bevatt<strong>en</strong>.<br />
Wel ev<strong>en</strong>tueel de typ<strong>en</strong> <strong>certificate</strong>n die<br />
word<strong>en</strong> ondersteund.<br />
Issuer.localityName N Wordt niet gebruikt. PKIo UTF8String -<br />
Issuer.serialNumber O MOET word<strong>en</strong> gebruikt indi<strong>en</strong> e<strong>en</strong>duidige<br />
naamgeving dit vereist<br />
RFC 3739<br />
Printable String<br />
Issuer.commonName V MOET de naam van de CA bevatt<strong>en</strong> conform<br />
geaccepteerd docum<strong>en</strong>t of basisregistratie,<br />
MAG word<strong>en</strong> aangevuld met de Domein<br />
aanduiding <strong>en</strong>/of de typ<strong>en</strong> certificaat die<br />
word<strong>en</strong> ondersteund<br />
PKIo, RFC 5280<br />
UTF8String<br />
ThisUpdate V MOET datum <strong>en</strong> tijdstip aangev<strong>en</strong> waarop<br />
de CRL is gewijzigd.<br />
RFC 5280 UTCTime MOET uitgavedatum bevatt<strong>en</strong> van de CRL conform het van toepassing<br />
zijnde beleid vastgelegd in het CPS.<br />
NextUpdate V MOET datum <strong>en</strong> tijdstip aangev<strong>en</strong> van de<br />
volg<strong>en</strong>de versie van de CRL (waarop deze<br />
verwacht mag word<strong>en</strong>).<br />
PKIo, RFC 5280 UTCTime Dit is het uiterste tijdstip waarop e<strong>en</strong> update verwacht mag word<strong>en</strong>,<br />
eerdere update is mogelijk. MOET word<strong>en</strong> ingevuld conform het van<br />
toepassing zijnde beleid vastgelegd in het CPS.<br />
revokedCertificates V MOET datum <strong>en</strong> tijdstip van revocatie <strong>en</strong><br />
RFC 5280<br />
SerialNumbers,<br />
Als er ge<strong>en</strong> ingetrokk<strong>en</strong> <strong>certificate</strong>n zijn MAG de revoked <strong>certificate</strong>s list<br />
serialNumber van de ingetrokk<strong>en</strong><br />
UTCTime<br />
NIET aanwezig zijn.<br />
<strong>certificate</strong>n bevatt<strong>en</strong>.<br />
Pagina 59 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
CRL ext<strong>en</strong>sies<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refer<strong>en</strong>tie<br />
Type Toelichting<br />
1<br />
authorityKeyId<strong>en</strong>tifier O Nee Dit attribuut is interessant als e<strong>en</strong> CSP over meer<br />
handtek<strong>en</strong>ing <strong>certificate</strong>n beschikt waarmee e<strong>en</strong><br />
CRL getek<strong>en</strong>d zou kunn<strong>en</strong> word<strong>en</strong> (m.b.v. dit<br />
attribuut is dan te achterhal<strong>en</strong> welke publieke<br />
sleutel gebruikt moet word<strong>en</strong> om de handtek<strong>en</strong>ing<br />
van de CRL te kunn<strong>en</strong> controler<strong>en</strong>).<br />
RFC 5280 KeyId<strong>en</strong>tifier De waarde MOET de SHA-1 hash van de authorityKey (publieke sleutel van de<br />
CSP/CA) bevatt<strong>en</strong>.<br />
IssuerAltName A Nee Dit attribuut geeft de mogelijkheid om alternatieve<br />
nam<strong>en</strong> voor de CSP (als uitgev<strong>en</strong>de<br />
instantie van de CRL) te gebruik<strong>en</strong> (het gebruik<br />
wordt afgerad<strong>en</strong>).<br />
RFC 5280<br />
Mogelijke invulling<strong>en</strong> voor dit veld zijn DNS naam, IP adres <strong>en</strong> URI. Gebruik<br />
van e<strong>en</strong> rfc822 naam (e-mail adres) is NIET toegestaan.<br />
CRLNumber V Nee Dit attribuut MOET e<strong>en</strong> oplop<strong>en</strong>d nummer<br />
RFC 5280<br />
Integer<br />
bevatt<strong>en</strong> dat het bepal<strong>en</strong> van de volgorde van<br />
CRL's ondersteunt (de CSP voorziet de CRL van<br />
de nummering).<br />
DeltaCRLIndicator O Ja Indi<strong>en</strong> van 'delta CRLs' gebruik wordt gemaakt<br />
RFC 5280<br />
BaseCRLNum-<br />
Bevat het nummer van de basisCRL waarop de Delta-CRL e<strong>en</strong> uitbreiding<br />
MOET e<strong>en</strong> waarde voor dit attribuut word<strong>en</strong> inge-<br />
ber<br />
vormt.<br />
vuld.<br />
issuingDistributionPoint O Ja Als gebruik wordt gemaakt van deze ext<strong>en</strong>sie<br />
id<strong>en</strong>tificeert dit attribuut het CRL distributie punt.<br />
Het kan ook additionele informatie bevatt<strong>en</strong><br />
(zoals e<strong>en</strong> gelimiteerde red<strong>en</strong> waarom het<br />
certificaat is ingetrokk<strong>en</strong>).<br />
RFC 5280 Indi<strong>en</strong> gebruikt MOET dit veld voldo<strong>en</strong> aan de specificaties in RFC 5280<br />
FreshestCRL O Nee Dit attribuut staat ook bek<strong>en</strong>d onder de naam<br />
'Delta CRL Distribution Point'. Indi<strong>en</strong> gebruikt<br />
RFC 5280<br />
Dit veld wordt gebruikt in volledige CRL's <strong>en</strong> geeft aan waar Delta-CRL<br />
informatie te vind<strong>en</strong> is die e<strong>en</strong> update vormt op de volledige CRL.<br />
Pagina 60 van 88
Criteria<br />
Critical<br />
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Veld / Attribuut<br />
Beschrijving<br />
Norm refer<strong>en</strong>tie<br />
Type Toelichting<br />
1<br />
MOET het de URI van e<strong>en</strong> Delta-CRL<br />
distributiepunt bevatt<strong>en</strong>. Het komt nooit voor in<br />
e<strong>en</strong> Delta-CRL.<br />
authorityInfoAccess O Nee Optionele verwijzing naar het certificaat van de<br />
RFC 5280<br />
id-ad-caIssuers<br />
MOET conformer<strong>en</strong> aan § 5.2.7 van RFC 5280.<br />
CRL.Issuer.<br />
(URI)<br />
CRLReason O Nee Indi<strong>en</strong> gebruikt geeft dit de red<strong>en</strong> aan waarom<br />
e<strong>en</strong> certificaat is ingetrokk<strong>en</strong>.<br />
RFC 5280 reasonCode Als ge<strong>en</strong> red<strong>en</strong> wordt opgegev<strong>en</strong> MOET dit veld word<strong>en</strong> weggelat<strong>en</strong><br />
holdInstructionCode N Nee Wordt niet gebruikt. RFC 5280 OID De PKI voor de overheid maakt ge<strong>en</strong> gebruik van de status 'On hold'.<br />
invalidityDate O Nee Dit attribuut kan gebruikt word<strong>en</strong> om e<strong>en</strong> datum<br />
<strong>en</strong> tijdstip aan te gev<strong>en</strong> waarop het certificaat<br />
gecompromitteerd is geword<strong>en</strong> indi<strong>en</strong> dit afwijkt<br />
van de datum <strong>en</strong> tijdstip waarop de CSP de<br />
revocatie heeft verwerkt.<br />
RFC 5280<br />
G<strong>en</strong>eralized-<br />
Time<br />
<strong>certificate</strong>Issuer A Ja Als gebruik wordt gemaakt van e<strong>en</strong> indirecte CRL<br />
MAG dit attribuut word<strong>en</strong> gebruikt om de<br />
oorspronkelijke uitgever van het certificaat te<br />
id<strong>en</strong>tificer<strong>en</strong>.<br />
RFC 5280<br />
G<strong>en</strong>eralNames<br />
Profiel OCSP<br />
Het OCSP certificaatprofiel is te vind<strong>en</strong> in de bijlage bij het CP Services<strong>certificate</strong>n.<br />
Pagina 61 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Bijlage B Verwijzingsmatrix<br />
Op basis van de hoofdstukk<strong>en</strong> 1 t/m 9 is in deze bijlage e<strong>en</strong> verwijzingsmatrix opg<strong>en</strong>om<strong>en</strong>. In de matrix is conform de RFC 3647 structuur e<strong>en</strong> verwijzing<br />
opg<strong>en</strong>om<strong>en</strong> naar de van toepassing zijnde eis<strong>en</strong> binn<strong>en</strong> de PKI voor de overheid. Hierbij is e<strong>en</strong> onderscheid gemaakt tuss<strong>en</strong> de Nederlandse wetgeving, ETSI<br />
TS 101 456 <strong>en</strong> de PKIo-eis<strong>en</strong>.<br />
In de navolg<strong>en</strong>de tabel kom<strong>en</strong> de eerste <strong>en</strong> tweede kolom overe<strong>en</strong> met de in RFC 3647 gehanteerde hoofdstuk- <strong>en</strong> paragraafindeling. In de kolom 'ETSI-eis'<br />
is vervolg<strong>en</strong>s aangegev<strong>en</strong> welke eis<strong>en</strong> uit ETSI van toepassing zijn op de betreff<strong>en</strong>de paragraaf uit de binn<strong>en</strong> de PKIoverheid gehanteerde Certificate Policy.<br />
Wanneer e<strong>en</strong> ETSI-eis van toepassing is op meerdere paragraf<strong>en</strong> uit RFC 3647 is de refer<strong>en</strong>tie naar de betreff<strong>en</strong>de ETSI-eis e<strong>en</strong>malig opg<strong>en</strong>om<strong>en</strong>. Zoals al in<br />
PvE deel 1 is aangegev<strong>en</strong> zijn de eis<strong>en</strong> uit ETSI van toepassing op alle typ<strong>en</strong> <strong>certificate</strong>n, t<strong>en</strong>zij anders is aangegev<strong>en</strong>.<br />
Daarnaast wordt in de tabel aangegev<strong>en</strong> welke eis<strong>en</strong> uit het wettelijk kader niet word<strong>en</strong> afgedekt door ETSI <strong>en</strong> op welke onderdel<strong>en</strong> uit de CP deze wettelijke<br />
eis<strong>en</strong> van toepassing zijn. Hierbij wordt aansluiting bij de Regeling Elektronische Handtek<strong>en</strong>ing<strong>en</strong> gezocht, waarin is aangegev<strong>en</strong> welke eis<strong>en</strong> uit het Besluit<br />
Elektronische Handtek<strong>en</strong>ing<strong>en</strong> niet word<strong>en</strong> afgedekt door ETSI. Tev<strong>en</strong>s zijn in de onderstaande tabel de artikel<strong>en</strong> uit de Wet Elektronische Handtek<strong>en</strong>ing<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> met betrekking tot aansprakelijkheid. Dit is gedaan omdat deze artikel<strong>en</strong> nader zijn uitgewerkt in PKIo-eis<strong>en</strong>.<br />
In de laatste kolom is voor de PKIo-eis<strong>en</strong> aangegev<strong>en</strong> op welke paragraaf uit de CP deze eis<strong>en</strong> van toepassing zijn. De cursief weergegev<strong>en</strong> ETSI-eis<strong>en</strong> zijn<br />
nader uitgewerkt in PKIo-eis<strong>en</strong>. In de onderstaande tabel kan het voorkom<strong>en</strong> dat e<strong>en</strong> PKIo-eis is opg<strong>en</strong>om<strong>en</strong> zonder dat daaraan e<strong>en</strong> ETSI-eis is gekoppeld.<br />
Dit wordt veroorzaakt door het feit dat e<strong>en</strong> PKIo-eis soms is gebaseerd op e<strong>en</strong> gedeelte van e<strong>en</strong> ETSI-eis terwijl die ETSI-eis in zijn geheel beter past bij e<strong>en</strong><br />
andere RFC-paragraaf. Ook kunn<strong>en</strong> meerdere PKIo-eis<strong>en</strong> soms dezelfde ETSI-eis als bron gebruik<strong>en</strong>, terwijl elke ETSI-eis slechts e<strong>en</strong>malig wordt g<strong>en</strong>oemd.<br />
Bij e<strong>en</strong> aantal RFC-paragraf<strong>en</strong> zijn in het geheel ge<strong>en</strong> eis<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>. Dit houdt in dat er ge<strong>en</strong> eis<strong>en</strong> van toepassing zijn op de betreff<strong>en</strong>de RFC-paragraaf<br />
of dat de eis<strong>en</strong> al zijn opg<strong>en</strong>om<strong>en</strong> bij e<strong>en</strong> andere RFC-paragraaf 7 . De PA heeft er bewust voor gekoz<strong>en</strong> om alle eis<strong>en</strong> maar e<strong>en</strong>malig op te nem<strong>en</strong>.<br />
7 Dit wordt mede veroorzaakt door het feit dat ETSI TS 101 456 niet volg<strong>en</strong>s de RFC 3647 structuur is opgebouwd.<br />
Pagina 62 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
1 Introductie op de Certificate Policy<br />
1.1 Achtergrond 1.1<br />
1.2 Verwijzing<strong>en</strong> naar deze CP 1.2<br />
1.3 Gebruikersgeme<strong>en</strong>schap 1.3<br />
1.4 Certificaatgebruik 1.4<br />
1.5 Contactgegev<strong>en</strong>s Policy Authority 1.5<br />
2 Publicatie <strong>en</strong> elektronische opslagmogelijkhed<strong>en</strong><br />
2.1 Elektronische opslagplaats 7.3.1.b<br />
7.3.4.b<br />
7.3.5.e<br />
7.3.5.f<br />
2.1-1<br />
2.1-2<br />
2.2 Publicatie van CSP-informatie 5.2.b<br />
7.1.a<br />
7.1.b<br />
7.1.d<br />
7.3.2.b<br />
2.2-1<br />
2.2-2<br />
2.2-3<br />
Pagina 63 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
7.3.4<br />
7.3.4.a<br />
7.3.5<br />
7.3.5.c<br />
7.3.5.d<br />
7.3.6.a<br />
2.3 Frequ<strong>en</strong>tie van publicatie<br />
2.4 Toegang tot gepubliceerde informatie 7.1.c<br />
7.3.6.k<br />
2.4-1<br />
3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie<br />
3.1 Naamgeving<br />
3.1.1 Soort<strong>en</strong> naamformat<strong>en</strong> 3.1.1-1<br />
3.1.2 Noodzaak voor betek<strong>en</strong>isvolle nam<strong>en</strong><br />
3.1.3 Anonimiteit of pseudonimiteit van certificaathouders 3.1.3-1<br />
3.1.4 Richtlijn<strong>en</strong> voor het interpreter<strong>en</strong> van de diverse naamvorm<strong>en</strong><br />
Pagina 64 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
3.1.5 Uniciteit van nam<strong>en</strong> 7.3.3.e<br />
3.1.6 Erk<strong>en</strong>ning, auth<strong>en</strong>ticatie <strong>en</strong> de rol van handelsmerk<strong>en</strong><br />
3.2 Initiële id<strong>en</strong>titeitsvalidatie<br />
3.2.1 Methode om bezit van de private sleutel aan te ton<strong>en</strong> 7.3.1.k<br />
7.3.1.l<br />
3.2.2 Auth<strong>en</strong>ticatie van organisatorische <strong>en</strong>titeit 3.2.2-1<br />
3.2.2-2<br />
3.2.3 Auth<strong>en</strong>ticatie van persoonlijke id<strong>en</strong>titeit 6.2<br />
6.2.a<br />
7.3.1<br />
7.3.1.a<br />
7.3.1.c<br />
7.3.1.d<br />
7.3.1.e<br />
7.3.1.h<br />
3.2.3-1<br />
3.2.4 Niet-geverifieerde abonnee informatie<br />
3.2.5 Autorisatie van de certificaathouder 7.3.1.g 3.2.5-1<br />
Pagina 65 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.2.g 3.2.5-2<br />
3.2.6 Criteria voor interoperabiliteit<br />
3.3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij vernieuwing van het certificaat<br />
3.3.1 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij routinematige vernieuwing van het certificaat 7.3.2<br />
7.3.2.a<br />
7.3.2.c<br />
7.3.2.d<br />
3.3.1-1<br />
3.3.1-2<br />
3.3.1.3<br />
3.3.2 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie bij vernieuwing van het certificaat na intrekking 3.3.2-1<br />
3.4 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie van verzoek<strong>en</strong> tot intrekking 7.3.6.c<br />
4 Operationele eis<strong>en</strong><br />
4.1 Aanvraag van <strong>certificate</strong>n<br />
4.2 Verwerk<strong>en</strong> van e<strong>en</strong> certificaat aanvraag<br />
4.3 Uitgifte van <strong>certificate</strong>n<br />
4.3.1 CSP tak<strong>en</strong> met betrekking tot certificaat uitgifte 7.3.3<br />
Pagina 66 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
7.3.3.a<br />
7.3.3.b<br />
7.3.3.c<br />
7.3.3.d<br />
4.3.2 CSP notificatie van certificaat uitgifte aan abonnee 7.3.5.a<br />
4.4 Acceptatie van <strong>certificate</strong>n<br />
4.4.1 Activiteit<strong>en</strong> bij acceptatie van <strong>certificate</strong>n 4.4.1-1<br />
4.4.2 Publicatie van het certificaat door CSP<br />
4.4.3 CSP notificatie van certificaat uitgifte aan overige <strong>en</strong>titeit<strong>en</strong><br />
4.5 Gebruik van sleutelpar<strong>en</strong> <strong>en</strong> <strong>certificate</strong>n<br />
4.5.1 Gebruik van private sleutel <strong>en</strong> certificaat door abonnee 6.2<br />
6.2.b<br />
6.2.c<br />
6.2.e<br />
6.2.f<br />
6.2.h<br />
6.2.i<br />
Pagina 67 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
4.5.2 Gebruik van publieke sleutel <strong>en</strong> certificaat door vertrouw<strong>en</strong>de partij 6.3<br />
6.3.a<br />
6.3.b<br />
6.3.c<br />
4.5.2-1<br />
4.6 Vernieuwing van het certificaat<br />
4.7 Vernieuw<strong>en</strong> van de sleutels van e<strong>en</strong> certificaat<br />
4.8 Certificaat aanpassing<strong>en</strong><br />
4.9 Intrekking van <strong>certificate</strong>n 7.3.6<br />
7.3.6.f<br />
4.9.1 Omstandighed<strong>en</strong> die leid<strong>en</strong> tot intrekking 4.9.1-1<br />
4.9.2 Wie mag e<strong>en</strong> verzoek tot intrekking do<strong>en</strong> 4.9.2-1<br />
4.9.3 Procedure voor e<strong>en</strong> verzoek tot intrekking 7.3.6.e<br />
7.3.6.h<br />
BEH 8 artikel 2 lid 1l 4.9.3-1<br />
4.9.3-2<br />
4.9.3-3<br />
4.9.3-4<br />
8 BEH staat voor Besluit Elektronische Handtek<strong>en</strong>ing<strong>en</strong>.<br />
Pagina 68 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
4.9.4 Tijdsduur waarbinn<strong>en</strong> certificaathouder intrekkingsverzoek moet indi<strong>en</strong><strong>en</strong><br />
4.9.5 Tijdsduur voor verwerking intrekkingsverzoek 7.3.6.a<br />
7.3.6.b<br />
4.9.5-1<br />
4.9.6 Controlevoorwaard<strong>en</strong> bij raadpleg<strong>en</strong> certificaat statusinformatie 4.9.6-1<br />
4.9.6-2<br />
4.9.7 CRL-uitgiftefrequ<strong>en</strong>tie 7.3.6.g 4.9.7-1<br />
4.9.8 Maximale lat<strong>en</strong>tie voor CRL's<br />
4.9.9 Online intrekking/statuscontrole 4.9.9-1<br />
4.9.9-2<br />
4.9.9-3<br />
4.9.9-4<br />
4.9.9-5<br />
4.9.9-6<br />
4.9.10 Eis<strong>en</strong> inzake Online intrekking/statuscontrole<br />
4.9.11 Overige mogelijkhed<strong>en</strong> tot status publicatie<br />
4.9.12 Specifieke eis<strong>en</strong> bij compromittering sleutel<br />
Pagina 69 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
4.9.13 Omstandighed<strong>en</strong> die leid<strong>en</strong> tot opschorting 7.3.6.d 4.9.13-1<br />
4.10 Certificaat Status service<br />
4.10.1 Operationele eig<strong>en</strong>schapp<strong>en</strong> 7.3.6.j<br />
7.3.6.l<br />
4.10.2 Beschikbaarheid certificaat statusservice 7.3.6.i 4.10.2-1<br />
4.10.3 Additionele functies<br />
4.11 Einde van afname CSP-di<strong>en</strong>stverl<strong>en</strong>ing<br />
4.12 Escrow van sleutels <strong>en</strong> recovery Zie par. 6.2.3<br />
5 Managem<strong>en</strong>t, operationele <strong>en</strong> fysieke beveiligingsmaatregel<strong>en</strong> 7.4.1<br />
7.4.1.a<br />
7.4.1.b<br />
7.4.1.c<br />
7.4.1.d<br />
7.4.1.e<br />
7.4.1.f<br />
7.4.1.g<br />
Pagina 70 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
5.1 Fysieke beveiliging 7.4.4<br />
5.1.1 Locatie <strong>en</strong> constructie van gebouw<strong>en</strong> 7.4.4.d<br />
7.4.4.f<br />
5.1.2 Fysieke toegang 7.4.4.a<br />
7.4.4.b<br />
7.4.4.c<br />
7.4.4.e<br />
7.4.4.h<br />
5.1.3 Energievoorzi<strong>en</strong>ing <strong>en</strong> airconditioning 7.4.4.g<br />
5.1.4 Overstromingsmaatregel<strong>en</strong><br />
5.1.5 Brandprev<strong>en</strong>tie <strong>en</strong> protectie<br />
5.1.6 Opslag van gegev<strong>en</strong>sdragers 7.4.5.c<br />
7.4.5.d<br />
7.4.5.f<br />
5.1.7 Verwijder<strong>en</strong> gegev<strong>en</strong>sdragers<br />
5.1.8 Externe opslag van back-ups<br />
Pagina 71 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
5.2 Procedurele beveiliging 7.4.5<br />
5.2.1 Vertrouwelijke functies 7.4.3.g<br />
7.4.3.h<br />
7.4.3.i<br />
5.2.2 Aantal person<strong>en</strong> b<strong>en</strong>odigd per taak<br />
5.2.3 Id<strong>en</strong>tificatie <strong>en</strong> auth<strong>en</strong>ticatie met betrekking tot CSP-functies<br />
5.2.4 Roll<strong>en</strong> die functiescheiding behoev<strong>en</strong> 7.4.5.k 5.2.4-1<br />
5.2.4-2<br />
5.2.5 Beheer <strong>en</strong> beveiliging 7.4.5.a<br />
7.4.5.b<br />
7.4.5.g<br />
7.4.5.h<br />
5.2.5-1<br />
5.2.5-2<br />
5.3 Personele beveiliging<br />
5.3 Personele beveiliging 7.4.3<br />
7.4.3.c<br />
7.4.3.d<br />
7.4.3.e<br />
Pagina 72 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
7.4.5.e<br />
7.5.h<br />
7.5.i<br />
5.3.1 Vakk<strong>en</strong>nis, ervaring <strong>en</strong> kwalificaties 7.4.3.a<br />
7.4.3.f<br />
5.3.2 Anteced<strong>en</strong>t<strong>en</strong>onderzoek 7.4.3.j BEH art.2, lid 1s<br />
BEH art.2, lid 2<br />
BEH art.2, lid 3<br />
5.3.2-1<br />
5.3.3 Trainingseis<strong>en</strong><br />
5.3.4 Bijscholing frequ<strong>en</strong>tie <strong>en</strong> eis<strong>en</strong><br />
5.3.5 Baanrotatie frequ<strong>en</strong>tie <strong>en</strong> volgorde<br />
5.3.6 Sancties voor ongeoorloofde activiteit<strong>en</strong> 7.4.3.b<br />
5.3.7 Eis<strong>en</strong> met betrekking tot externe medewerkers<br />
5.3.8 Docum<strong>en</strong>tatie verstrekking aan personeel<br />
5.4 Procedures t<strong>en</strong> behoeve van beveiligingsaudits<br />
Pagina 73 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
5.4.1 Vastlegging van gebeurt<strong>en</strong>iss<strong>en</strong> 7.4.5.i<br />
7.4.11.g<br />
7.4.11.h<br />
7.4.11.d<br />
7.4.11.k<br />
7.4.11.l<br />
7.4.11.m<br />
7.4.11.n<br />
7.4.11.o<br />
5.4.1-1<br />
5.4.2 Frequ<strong>en</strong>tie van verwerking audit-log 7.4.5.j<br />
5.4.3 Bewaartermijn audit-log Zie 5.5.2 5.4.3-1<br />
5.4.4 Bescherming van audit-log 7.4.11.a<br />
7.4.11.f<br />
5.4.5 Audit-log back-up procedure<br />
5.4.6 Intern of extern auditsysteem<br />
5.4.7 Notificatie van <strong>en</strong>titeit die audit-log veroorzaakt<br />
5.4.8 Analyse van audit-log<br />
Pagina 74 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
5.5 Archivering van docum<strong>en</strong>t<strong>en</strong><br />
5.5.1 Vastlegging van gebeurt<strong>en</strong>iss<strong>en</strong> 7.4.11<br />
7.4.11.i<br />
7.3.1.f<br />
7.3.1.i<br />
5.5.2 Bewaartermijn archief 7.4.11.e<br />
7.3.1.j<br />
5.5.2-1<br />
5.5.3 Bescherming van archiev<strong>en</strong> 7.4.10.a<br />
7.4.11.b<br />
5.5.4 Archief back-up procedure<br />
5.5.5 Voorwaard<strong>en</strong> aan tijdsaanduiding van vastgelegde gebeurt<strong>en</strong>iss<strong>en</strong><br />
5.5.6 Intern of extern archiefsysteem<br />
5.5.7 Procedures t<strong>en</strong> behoeve van het verkrijg<strong>en</strong> <strong>en</strong> verifiër<strong>en</strong> van archiefinformatie<br />
5.6 Vernieuw<strong>en</strong> van sleutels<br />
Pagina 75 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
5.7 Aantasting <strong>en</strong> continuïteit<br />
5.7.1 Procedures voor afhandeling incid<strong>en</strong>t<strong>en</strong> <strong>en</strong> aantasting 7.4.8.e 5.7.1-1<br />
5.7.1-2<br />
5.7.2 Herstelprocedure in geval van aantasting hardware, software <strong>en</strong>/of data<br />
5.7.3 Herstelprocedure in geval van aantasting van de private sleutel van de CSP 7.4.8.d<br />
7.4.8.f<br />
5.7.4 Continuïteit van de bedrijfsvoering na calamiteit 7.4.8<br />
7.4.8.a<br />
7.4.8.b<br />
7.4.8.c<br />
5.7.4-1<br />
5.8 CSP-beëindiging 7.4.9<br />
7.4.9.a<br />
7.4.9.b<br />
7.4.9.c<br />
BEH art.2, lid 1p<br />
BEH art. 2, lid 1q<br />
6 Technische beveiliging<br />
6.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van sleutelpar<strong>en</strong><br />
Pagina 76 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.1.1 G<strong>en</strong>erer<strong>en</strong> van sleutelpar<strong>en</strong> voor de CSP sub CA 7.2.1<br />
7.2.1.a<br />
7.2.1.c<br />
7.2.1.d<br />
6.1.1-1<br />
G<strong>en</strong>erer<strong>en</strong> van sleutelpar<strong>en</strong> van de certificaathouders<br />
6.2.d<br />
7.2.8<br />
7.2.8.a<br />
6.1.1-2<br />
6.1.1-3<br />
6.1.2 Overdracht van private sleutel <strong>en</strong> SSCD aan certificaathouder 7.2.8.c<br />
7.2.8.d<br />
7.2.8.e<br />
7.2.9<br />
7.2.9.a<br />
7.2.9.b<br />
7.2.9.c<br />
6.1.2-1<br />
6.1.3 Overdracht van de publieke sleutel van de eindgebruiker aan de CSP<br />
6.1.4 Overdracht van de publieke sleutel van de CSP aan gebruikers 7.2.3<br />
7.2.3.a<br />
6.1.5 Sleutell<strong>en</strong>gt<strong>en</strong> van private sleutels van certificaathouders 7.2.8.b 6.1.5-1<br />
Pagina 77 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.1.6 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> controler<strong>en</strong> van parameters voor publieke sleutels<br />
6.1.7 Doel<strong>en</strong> van sleutelgebruik (zoals bedoeld in X.09 v3) 7.2.5<br />
7.2.5.a<br />
7.2.5.b<br />
6.1.7-1<br />
6.2 Private sleutel bescherming <strong>en</strong> beheersmaatregel<strong>en</strong> cryptografische modul<strong>en</strong><br />
6.2.1 Standaard<strong>en</strong> voor cryptografische modul<strong>en</strong> <strong>en</strong> beheersmaatregel<strong>en</strong> 7.2.1.b<br />
7.2.2<br />
7.2.2.a<br />
7.2.2.b<br />
6.2.2 Private CSP-sleutel controle door meerdere person<strong>en</strong><br />
6.2.3 Escrow van private sleutels van certificaathouders 7.2.4 6.2.3-1<br />
6.2.3-2<br />
6.2.3-3<br />
6.2.3-4<br />
6.2.4 Back-up van private sleutel<br />
6.2.4.1 Back-up van private sleutels van de CSP 7.2.2.c<br />
7.2.2.d<br />
Pagina 78 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.2.4.2 Back-up van private sleutel van certificaathouders 6.2.4.2-1<br />
6.2.5 Archivering van private sleutels van certificaathouders 6.2.5-1<br />
6.2.6 Toegang tot private sleutels in cryptografische module 7.2.2.e<br />
6.2.7 Opslag van private sleutels in cryptografische module<br />
6.2.8 Activering van de private sleutels van de CSP<br />
6.2.9 Deactivering van de private sleutels van de CSP<br />
6.2.10 Methode voor het vernietig<strong>en</strong> van private sleutels 7.2.6.a<br />
6.2.11 Eis<strong>en</strong> voor veilige middel<strong>en</strong> voor het aanmak<strong>en</strong> van elektronische handtek<strong>en</strong>ing<strong>en</strong> 5.3.1.c 6.2.11-1<br />
6.2.11-2<br />
6.2.11-3<br />
6.3 Andere apsect<strong>en</strong> van sleutelpaarmanagem<strong>en</strong>t<br />
6.3.1 Archiver<strong>en</strong> van publieke sleutels 6.3.1-1<br />
6.3.2 Gebruiksduur voor <strong>certificate</strong>n <strong>en</strong> publieke <strong>en</strong> private sleutels 7.2.1.e<br />
7.2.6<br />
6.3.2-1<br />
6.3.2-2<br />
Pagina 79 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.4 Activeringsgegev<strong>en</strong>s<br />
6.4.1 G<strong>en</strong>erer<strong>en</strong> <strong>en</strong> installer<strong>en</strong> van activeringsgegev<strong>en</strong>s 7.2.9.d 6.4.1-1<br />
6.4.1-2<br />
6.4.2 Activeringsgegev<strong>en</strong>s bescherming<br />
6.4.3 Andere aspect<strong>en</strong> van activeringsgegev<strong>en</strong>s<br />
6.5 Logische toegangsbeveiliging van CSP-computers<br />
6.5.1 Specifieke technische vereist<strong>en</strong> aan computerbeveiliging 7.4.6<br />
7.4.6.c<br />
7.4.6.d<br />
7.4.6.e<br />
7.4.6.f<br />
7.4.6.j<br />
7.4.6.l<br />
6.5.1-1<br />
6.5.1-2<br />
6.5.1-3<br />
6.5.2 Beheer <strong>en</strong> classificatie van middel<strong>en</strong> 7.4.2<br />
7.4.2.a<br />
6.6 Beheersmaatregel<strong>en</strong> technische lev<strong>en</strong>scyclus<br />
Pagina 80 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
6.6.1 Beheersmaatregel<strong>en</strong> t<strong>en</strong> behoeve van systeemontwikkeling 7.4.7<br />
7.4.7.a<br />
7.4.7.b<br />
6.6.1-1<br />
6.6.2 Managem<strong>en</strong>t van maatregel<strong>en</strong> t<strong>en</strong> behoeve van beveiliging<br />
6.6.3 Lev<strong>en</strong>scyclus beveiligingsclassificatie<br />
6.6.4 Lev<strong>en</strong>scyclus van cryptografische hardware voor het ondertek<strong>en</strong><strong>en</strong> van <strong>certificate</strong>n 7.2.7<br />
7.2.7.a<br />
7.2.7.b<br />
7.2.7.c<br />
7.2.7.d<br />
7.2.7.e<br />
6.7 Netwerkbeveiliging 7.4.6.a<br />
7.4.6.b<br />
7.4.6.g<br />
7.4.6.h<br />
7.4.6.i<br />
7.4.6.k<br />
7.3.3.f<br />
7.3.3.g<br />
6.7.1-1<br />
6.7.1-2<br />
6.7.1-3<br />
6.8 Time-stamping<br />
Pagina 81 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
7 Certificaat-, CRL- <strong>en</strong> OSCP-profiel<strong>en</strong><br />
7.1 Certificaatprofiel<strong>en</strong> 7.1-1<br />
7.2 CRL-profiel<strong>en</strong> 7.2-1<br />
7.3 OCSP-profiel<strong>en</strong> 7.3-1<br />
8 Conformiteitbeoordeling Zie hoofdstuk 8<br />
9 Algem<strong>en</strong>e bepaling<strong>en</strong><br />
9.1 Tariev<strong>en</strong><br />
9.2 Financiële verantwoordelijkheid <strong>en</strong> aansprakelijkheid<br />
9.2.1 Verzekeringsdekking 7.5.d 9.2.1-1<br />
9.2.2 Overige bezitting<strong>en</strong> 9.2.2-1<br />
9.3 Vertrouwelijkheid<br />
9.4 Bescherming persoonsgegev<strong>en</strong>s<br />
Pagina 82 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
9.4.1 Beleid met betrekking tot bescherming van persoonsgegev<strong>en</strong>s<br />
9.4.2 Informatie behandeld als privé 7.4.11.j<br />
9.4.3 Informatie niet behandeld als privé<br />
9.4.4 Verantwoordelijkhed<strong>en</strong> voor bescherming van privé informatie 7.4.10.c<br />
9.4.5 Notificatie <strong>en</strong> toestemming van eindgebruiker voor gebruik <strong>en</strong> publicatie persoonlijke informatie 7.3.5.b<br />
7.4.10.b<br />
7.4.10.d<br />
9.4.6 Vrijgev<strong>en</strong> van informatie in geval van gerechtelijke of administratieve procedure 7.4.11.c<br />
9.4.7 Andere omstandighed<strong>en</strong> wanneer informatie mag word<strong>en</strong> vrijgegev<strong>en</strong><br />
9.5 Intellectuele eig<strong>en</strong>domsrecht<strong>en</strong> 9.5-1<br />
9.6 Aansprakelijkheid<br />
9.6.1 Aansprakelijkheid van CSP's 6.4<br />
Annex A<br />
[OID 2.16.528.1.1003.1.2.2.2 <strong>en</strong><br />
2.16.528.1.1003.1.2.5.2]<br />
BW 9 art. 196b, lid1 <strong>en</strong> lid 2<br />
9.6.1-1<br />
9.6.1-2<br />
9.6.1-3<br />
9 BW staat voor Burgerlijk Wetboek.<br />
Pagina 83 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
9.6.1-4<br />
9.6.2<br />
t/m<br />
9.6.5<br />
Diverse artikel<strong>en</strong> omtr<strong>en</strong>t aansprakelijkheid<br />
9.7 Verwerping van aansprakelijkheid<br />
9.8 Beperking<strong>en</strong> van aansprakelijkheid 9.8-1<br />
9.8-2<br />
9.9 Vrijwaring<br />
9.10 Geldigheidsduur <strong>en</strong> beëindiging overe<strong>en</strong>komst<br />
9.11 Afsprak<strong>en</strong> <strong>en</strong> communicatie tuss<strong>en</strong> <strong>en</strong>titeit<strong>en</strong> uit de PKIoverheid-hiërarchie<br />
9.12 Wijziging<strong>en</strong><br />
9.12.1 Wijzigingsprocedure<br />
9.12.2 Notificatie van wijziging<strong>en</strong> 9.12.2-1<br />
9.12.3 Omstandighed<strong>en</strong> waardoor de OID di<strong>en</strong>t te word<strong>en</strong> gewijzigd<br />
Pagina 84 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Nr. CP-refer<strong>en</strong>tie ETSI-eis Wettelijke eis PKIo-eis<br />
9.13 Geschill<strong>en</strong>beslechting 7.5.f BEH art.2, lid 1n 9.13-1<br />
9.14 Van toepassing zijnde wetgeving 9.14<br />
9.15 Het in overe<strong>en</strong>stemming zijn met de van toepassing zijnde wet 7.4.10<br />
9.16 Diverse bepaling<strong>en</strong><br />
9.17 Overige bepaling<strong>en</strong> 6.1<br />
7.1.e<br />
7.1.f<br />
7.1.i<br />
7.5<br />
7.5.a<br />
7.5.b<br />
7.5.c<br />
7.5.e<br />
7.5.g<br />
9.17-1<br />
Pagina 85 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
10 Revisies<br />
10.1 Wijziging<strong>en</strong> van versie 3.4 naar 3.5<br />
10.1.1 Aanpassing<strong>en</strong><br />
Beschrijving <strong>en</strong> toelichting bij het attribuut QcStatem<strong>en</strong>t (uiterlijke<br />
ingangsdatum 4 wek<strong>en</strong> na publicatie PVE 3;<br />
Toelichting van het attribuut SerialNumber (uiterlijke ingangsdatum 4<br />
wek<strong>en</strong> na publicatie PVE 3.5 );<br />
10.2 Wijziging<strong>en</strong> van versie 3.3 naar 3.4<br />
10.2.1 Nieuw<br />
Eis 5.2.5-2 (uiterlijke ingangsdatum 4 wek<strong>en</strong> na publicatie PVE 3.4 );<br />
Eis 5.3.2-1 (uiterlijke ingangsdatum 4 wek<strong>en</strong> na publicatie PVE 3.4 );<br />
10.2.2 Aanpassing<strong>en</strong><br />
Beschrijving <strong>en</strong> toelichting bij subject.Countryname (reeds ingegaan<br />
via versnelde wijzigingsprocedure op 1-10-2012);<br />
Toelichting bij ExtKeyUsage (uiterlijke ingangsdatum 4 wek<strong>en</strong> na<br />
publicatie PVE 3.4 );<br />
Paragraaf 9.12 m.b.t. de wijzigingsprocedure<br />
10.2.3 redactioneel<br />
Eis 5.4.1-1 (uiterlijke ingangsdatum 4 wek<strong>en</strong> na publicatie PVE 3.4 );<br />
10.3 Wijziging<strong>en</strong> van versie 3.2 naar 3.3<br />
10.3.1 Nieuw<br />
Eis 5.2.5-1 (uiterlijke ingangsdatum 1-12-2012)<br />
Eis 5.4.3-1<br />
Eis 5.7.4-1 (uiterlijke ingangsdatum 1-12-2012)<br />
10.3.2 Aanpassing<strong>en</strong><br />
Eis 4.9.1-1<br />
Eis 5.4.1-1<br />
Eis 5.7.1-1 (uiterlijke ingangsdatum 1-10-2012)<br />
Eis 5.7.1-2 (uiterlijke ingangsdatum 1-10-2012)<br />
Eis 6.5.1.3<br />
Eis 6.7.1.1<br />
10.3.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.4 Wijziging<strong>en</strong> van versie 3.1 naar 3.2<br />
10.4.1 Nieuw<br />
Eis 5.2.4-2;<br />
Eis 5.4.1-1 (uiterlijke ingangsdatum 1-6-2012);<br />
Eis 6.5.1-3 (uiterlijke ingangsdatum is 1-7-2012);
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
Eis 6.7.1-1 (uiterlijke ingangsdatum 1-7-2012);<br />
Eis 6.7.1-2 (uiterlijke ingangsdatum 1-7-2012);<br />
Eis 6.7.1-3.<br />
10.4.2 Aanpassing<strong>en</strong><br />
Eis 4.5.2-1 (uiterlijke ingangsdatum is 1-2-2012);<br />
Eis 3.2.5-1;<br />
Eis 5.7.1-2;<br />
Eis 6.2.3-2;<br />
Toelichting bij SubjectAltName.rfc822Name.<br />
10.4.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.5 Wijziging<strong>en</strong> van versie 3.0 naar 3.1<br />
10.5.1 Nieuw<br />
Eis 4.9.7-1, 4.9.9-6, 6.5.1-1 <strong>en</strong> 6.5.1-2.<br />
10.5.2 Aanpassing<strong>en</strong><br />
Eis 4.9.1-1;<br />
Toelichting bij attribuut SerialNumber.<br />
10.5.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.6 Wijziging<strong>en</strong> van versie 2.1 naar 3.0<br />
10.6.1 Nieuw<br />
Ge<strong>en</strong> wijziging<strong>en</strong>.<br />
10.6.2 Aanpassing<strong>en</strong><br />
Eis 4.9.2-1;<br />
Toelichting bij attribuut Signature.<br />
10.6.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.7 Wijziging<strong>en</strong> van versie 2.0 naar 2.1<br />
10.7.1 Redactioneel<br />
Alle<strong>en</strong> e<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze<br />
hebb<strong>en</strong> ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.8 Wijziging<strong>en</strong> van versie 1.2 naar 2.0<br />
10.8.1 Nieuw<br />
Eis 4.9.3-1;<br />
Attribuut authorityInfoAccess onder CRL ext<strong>en</strong>sies.<br />
Pagina 87 van 88
| PvE deel <strong>3a</strong>: Certificate Policy - Domein<strong>en</strong> <strong>Overheid</strong>/ <strong>Bedrijv<strong>en</strong></strong> <strong>en</strong> Organisatie | 8 juli 2013<br />
10.8.2 Aanpassing<strong>en</strong><br />
Paragraaf 1.3;<br />
Eis 3.2.2-2, 3.2.3-1, 3.2.5-1, 3.2.5-2 <strong>en</strong> 4.5.2-1;<br />
Toelichting bij attribuut Subject.organizationalUnitName, Certificate-<br />
Policies <strong>en</strong> SubjectAltName.rfc822Name;<br />
Beschrijving <strong>en</strong> toelichting bij attribuut ExtKeyUsage.<br />
10.8.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.9 Wijziging<strong>en</strong> van versie 1.1 naar 1.2<br />
10.9.1 Nieuw<br />
Ge<strong>en</strong> wijziging<strong>en</strong>.<br />
10.9.2 Aanpassing<strong>en</strong><br />
Paragraaf 1.2 <strong>en</strong> 1.4;<br />
Eis 3.3.1-1, 3.3.1-2, 6.1.1-1, 6.1.1-2, 6.1.1-3, 6.1.2-1, 6.1.5-1,<br />
6.1.7-1, 6.2.3-1, 6.2.3-2, 6.2.3-3, 6.2.3-4, 6.2.4.2-1, 6.2.5-1, 6.3.1-<br />
1, 9.6.1-1, 9.6.1-2, 9.6.1-4, 9.8-1 <strong>en</strong> 9.8-2;<br />
Toelichting bij attribuut Signature <strong>en</strong> CertificatePolicies.<br />
10.9.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.10 Wijziging<strong>en</strong> van versie 1.0 naar 1.1<br />
10.10.1 Nieuw<br />
Ge<strong>en</strong> wijziging<strong>en</strong>.<br />
10.10.2 Aanpassing<strong>en</strong><br />
Bijlage A onderdeel Naamconv<strong>en</strong>tie Subject.commonName;<br />
Toelichting bij attribuut Subject.commonName;<br />
Beschrijving <strong>en</strong> toelichting bij attribuut SubjectAltName.otherName.<br />
10.10.3 Redactioneel<br />
E<strong>en</strong> aantal redactionele aanpassing<strong>en</strong> zijn doorgevoerd maar deze hebb<strong>en</strong><br />
ge<strong>en</strong> gevolg<strong>en</strong> voor de inhoud van de informatie.<br />
10.11 Versie 1.0<br />
Eerste versie.<br />
Pagina 88 van 88