Uit een inventarisatie van VNG en KING blijkt dat vrijwel alle gemeenten een of meerdere certificaten van DigiNotar hebben. Het is mogelijk dat vrijwel alle gemeenten morgen al problemen kunnen ondervinden met de bedrijfsvoering zowel intern als in de ketens.
Dit meldt de VNG op haar website.
Vooral bij de combinatie van DigiNotar-certificaten met een Microsoft-besturingssysteem en browser worden problemen verwacht. De VNG en KING bieden gemeenten een stappenplan en verdere ondersteuning via website en informatiecentrum (070 – 3738020 of
1. Bekijk of uw gemeente gebruik maakt van certificaten van DigiNotar
en bepaal of uw samenwerkingspartners gebruik maken van certificaten van DigiNotar.
Hoe komt u erachter welke certificaten u binnen de gemeente in gebruik heeft:
-
Gebruik de lijst van KING en VNG waarin staat aangegeven hoeveel certificaten de gemeente heeft. (dit is een ruw bestand en ter ondersteuning en niet uitputtend)
-
Raadpleeg uw systeembeheerder of contractadministratie en vraag naar een overzicht
-
Check bij uw leverancier(s)
Als er meerdere DigiNotar certificaten vervangen moeten worden, wacht dan niet tot u alle certificaten geïnventariseerd heeft, maar doe de aanvraag gefaseerd. (Gebruik hierbij de 80-20 regel).
Vraag naar de levertijd bij het aanvragen van nieuwe certificaten. Leveranciers hebben bij het NCC aangegeven, dat er momenteel geen wachtrij is en certificaten binnen twee werkdagen geleverd kunnen worden. Als u een langere wachttijd ervaart in de praktijk, meld dit dan bij het informatiecentrum van de VNG:
Van belang is ook dat u uw oude certificaten opzegt. Dit moet gebeuren, maar kan op een later moment worden gedaan.
2. Vervanging van certificaten
2.1 Kies een leverancier
Er zijn drie certificaatleveranciers van PKIoverheid services/SSL-certificaten:
ESG Getronics /Gemnet CSPQuoVadis
Het aanvragen van een PKIoverheid services certificaat verloopt via één van deze leveranciers. Voor G2 (SHA2)-aanvragen kunt u bij alle drie de partijen terecht. G1 ((SHA1)-certificaten zijn echter alleen aan te vragen bij Gemnet/CSP Getronics. Het huidige beleid rondom PKIoverheid blijft gehandhaafd.
2.2 Stappen voor aanvragen nieuwe certificaten
Als u voor het eerst een certificaat wilt aanvragen bij één van de bovenstaande certificaatleveranciers, doorloopt u in een aantal stappen.
a. Registreer uw gemeente bij uw CSP als abonnee.
-
Lever bewijs dat uw gemeente een (overheids)organisatie is, zoals een wet, oprichtingsakte of een uittreksel uit het Handelsregister
-
Lever als overheidsorganisatie, indien van toepassing, uw OIN
-
Lever bewijs van bevoegdheid (benoemings- of aanstellingsbesluit) van de vertegenwoordiger (bijvoorbeeld een minister, burgemeester of directeur)
-
Lever een kopie van een geldig identificatiebewijs van uw bevoegd vertegenwoordiger (burgemeester of gemeentesecretaris)
b. Wijs certificaatbeheerder(s) aan als eerste aanspreekpunt voor uw organisatie bij de CSP.
-
Deze certificaatbeheer kan namens uw gemeente certificaten aanvragen en intrekken
c. Tip: U kunt de gegevens opgeven van één of meerdere personen die u als contactpersoon van uw organisatie wenst te autoriseren om namens uw gemeente certificaten aan te vragen en in te trekken, als om andere contactpersonen en certificaatbeheerders te autoriseren. Zorg dat u deze personen paraat heeft staan.
d. U vraagt een nieuw certificaat aan met een aanvraagformulier via uw certificaatleverancier.
ESG Getronics /Gemnet CSPQuoVadis
2.3 Handige tips
-
Certificaatverleners geven standaard vanaf 1 januari 2011 SHA256-certificaten uit. Alleen Gemnet CSP levert nog SHA1-certificaten die geldig zijn tot 31-12- 2011. Als u een SHA1 certificaat nodig hebt, is het van belang dat u dit expliciet vermeldt bij Getronics/Gemnet CSP.
-
U kunt zogenaamde 'certificate signing requests' (CSR) laten opmaken. Het is van belang dat daarin de volgende informatie staat:
– de naam van uw gemeente
– de naam van de server (CN), bijvoorbeeldwww.digid.nl
– de sleutellengte (is standaard 2048 bit RSA)
3. Koppeling DigiNotar – Microsoft
Bepaal of de certificaten worden gebruikt voor uw website (in uw browser) en/of voor uw interne bedrijfsvoering. Check of de certificaten van DigiNotar gekoppeld zijn aan Microsoft besturingssysteem of browser. Deze combinatie levert een verhoogd risico. Schakel de automatische update functie voor Microsoft uit.
4. Koppeling DigiNotar binnen ketens en domeinen
Bepaal aan welke werkprocessen en ketens de certificaten zijn gekoppeld. Indien u samenwerkt, in bijvoorbeeld een shared service center of intergemeentelijke sociale dienst, ga dan ook met uw samenwerkingspartner de mogelijke impact na. Zie het
Bepaal vervolgens de impact op de werkprocessen en in de ketens en zorg voor alternatieve werkwijzen (workarounds). VNG en KING proberen werkprocessen in kaart te brengen. Meld problemen bij
5. Verwijs in de communicatie aan uw burgers naar de publieksite Postbus51 voor meer informatie over consequenties.
6. Geef tips en consequenties voor uw bedrijfsvoering binnen uw gemeente zo snel mogelijk door aan de VNG/KING.
Wij hebben een kenniscentrum ingericht om kennis te bundelen en uit te wisselen met elkaar. Op dit moment zijn wij druk bezig om mogelijke consequenties per situatie zo goed mogelijk in kaart te brengen om gemeenten te kunnen ondersteunen in hun aanpak. Stuur uw opmerkingen naar: informatiecentrum@vng.nl.
