Vervanging Digitale Paspoorten vanwege wereldwijd beveiligingsissue certificaten

Via de beproefde vraag-antwoordmethode informeert SIVI je over de komende vervanging van de Digitale Paspoorten. Het accent ligt hierbij op het waarom en wanneer. Digidentity gaat je informeren over de details (processtappen, benodigde gegevens etc.).

Wanneer?
De oude Digitale Paspoorten dienen vóór 10 oktober 2020 te zijn vervangen door nieuwe Digitale Paspoorten. Vanaf 10 oktober 2020 kan nergens meer worden ingelogd met de oude Digitale Paspoorten.

Hoe?
Het huidige Digitale Paspoort kun je op twee manieren vernieuwen:

  1. Met een eHerkenningsmiddel op niveau 3 van Digidentity;
  2. Met een Digidentity Zakelijk niveau 1 account.

In beide gevallen begin je op deze pagina van Digidentity. In beide gevallen heb je ook een Digidentity-account nodig. Hierna heb je dus de keuze tussen bovenstaande opties. Die zien er in het portaal van Digidentity als volgt uit:

Opties Digidentity

Kosten
– De kosten voor een Digidentity Zakelijk niveau 1 account zijn gratis.
– De kosten voor een eHerkenningsmiddel op niveau 3 zijn 41 euro per jaar.
– De kosten voor een Digitaal Paspoort zijn 64 euro per jaar. In combinatie met een eHerkenningsmiddel krijg je hier wel 23 euro korting op (dus de combinatie eHerkenning en Digitaal Paspoort is 82 euro i.p.v. 105 euro).
– Bij het vernieuwen van het Digitaal Paspoort krijg je de resterende looptijd van het oude Digitaal Paspoort vergoed in de vorm van een restitutie.

Registratieprocessen eHerkenningsmiddel en Digidentity Zakelijk niveau 1
Of je nu voor eHerkenning of een Digidentity Zakelijk niveau 1 account kiest: het registratieproces kost even tijd. In beide gevallen volgt een check van de identiteit en dient de tekenbevoegde van de organisatie (zoals ingeschreven in KVK) een brief te downloaden, printen, ondertekenen en uploaden. Bij eHerkenning moet de meerderheid van de tekenbevoegden deze laatste stap doen, bij een Digidentity Zakelijk niveau 1 account hoeft maar één tekenbevoegde dit te doen.

Als bedrijfsbeheerder voor alle medewerkers de Digitale Paspoorten vernieuwen
Als werkgever van een grote organisatie kan het handig zijn om voor alle medewerkers de Digitale Paspoorten te vernieuwen. In dat geval is het aan te raden om als beheerder zelf voor de eHerkenningsroute te kiezen en jezelf als bedrijfsbeheerder te registreren. Voor het registreren van een bedrijfsbeheerder is een eHerkenningsmiddel op niveau 3 vereist. Werknemers kunnen dan met hun Digidentity account (ongeacht eHerkenning of Digidentity Zakelijk niveau 1), als ze hetzelfde KVK opgeven als de bedrijfsbeheerder, hun oude Digitale Paspoort uploaden, waarna de bedrijfsbeheerder deze vanuit zijn portaal kan vernieuwen en kan downloaden.

Veelgestelde vragen over het vernieuwen/vervangen van oude Digitale Paspoorten

Rond de huidige Digitale Paspoorten manifesteert zich een compliance-issue dat gevolgen heeft voor gebruikers (bijvoorbeeld financiële adviseurs, medewerkers bij verzekeraars) en online dienstverleners (bijvoorbeeld verzekeraars, serviceproviders, maar ook organisaties als CIS en Solera).
Dit issue speelt wereldwijd en raakt een groot aantal gebruikers van PKI client-certificaten. Hier is aan de kant van Digidentity sprake van absolute overmacht. Het onderschrijft wel de noodzaak om over te stappen op eHerkenning en afscheid te nemen van Digitale Paspoorten.
De kern is dat de Digitale Paspoorten die nu gebruikt worden, vanaf oktober 2020 vervangen moeten zijn. De oplossing is dat – in de periode 1 september tot 1 oktober 2020 – alle gebruikers overstappen op een separaat nieuw Digitaal Paspoort of de Digidentity-bundel. Dit laatste is het combimiddel van een nieuw Digitaal Paspoort en eHerkenning. De planning voor wat betreft de migratie van Digitaal Paspoort naar eHerkenning blijft zoals die was: uiterlijk 31 december 2021 zijn alle online dienstverleners over op eHerkenning.

Begin juli 2020 is gemeld dat verschillende Certificate Authorities (CA) die certificaten voor het beveiligen van websites uitgeven, niet voldoen aan bepaalde eisen van de belangrijkste internetbrowsers (Mozilla, Apple, Google, Microsoft). Het niet voldoen aan deze eis heeft geleid tot een beveiligingsrisico.
Het gaat om een wijdverbreid issue: hier is dan ook sprake van overmacht aan de kant van Digidentity. Dit issue raakt ook de ‘oude’ (huidige) Digitale Paspoorten. Het issue heeft zowel landelijk als internationaal gevolgen voor afgegeven certificaten.

Dit issue had zich ook gemanifesteerd als geen sprake was van een migratie naar eHerkenning.

De fout die is geconstateerd is dat in het certificaat van de Issuing CA een veld is opgenomen waardoor het mogelijk is dat de Issuing CA ook het getekende antwoord kan geven: niet alleen voor de eigen certificaten, maar ook voor certificaten die binnen hetzelfde domein vallen.
De eis vanuit de belangrijkste internetbrowsers (Mozilla, Apple, Google, Microsoft) om het probleem op te lossen, is dat de huidige Issuing CA ingetrokken worden, en de sleutels vernietigd. Dit heeft tot gevolg dat alle onderliggende certificaten (Digitale Paspoorten) ook ingetrokken worden, en dus vervangen moeten worden.
Misbruik van het risico is klein en vraagt kennis, expertise en toegang tot de zwaarbeveiligde systemen van CA’s. Desondanks eisen de (leveranciers van de) browsers dat dit risico op korte termijn wordt gemitigeerd. Dit onder druk van het niet langer accepteren van deze certificaten waardoor feitelijk de certificaten niet langer bruikbaar zijn om in te loggen.

Het gevolg is dat eindgebruikers hun Digitale Paspoort moeten vervangen.

De Digidentity-oplossing betekent de vervanging van de huidge Digitale Paspoorten door nieuwe Digitale Paspoorten. Hiertoe moet de gebruiker een aantal acties uitvoeren, waaronder het aanmaken van een Digidentity-profiel. Daarna ontvangt hij/zij een nieuw Digitaal Paspoort. Op deze manier blijven de inlogmogelijkheden met Digitale Paspoorten gewaarborgd. Ondertussen gaat de migratie van Digitaal Paspoort naar eHerkenning gewoon door. Maar na 1 september 2020 heeft de klant een keuze:

  • direct overstappen op het combimiddel van een nieuw Digitaal Paspoort en eHerkenning, de zogenaamde Digidentity-bundel,
  • of eerst overgaan op enkel een nieuw Digitaal Paspoort (dus zonder eHerkenning).

Alle online dienstverleners weten al lange tijd dat zij maatregelen moeten nemen om vanaf 1 september 2020 het nieuwe Digitale Paspoort (als onderdeel van de Digidentity-bundel) te accepteren. Voor hen verandert door het issue niets, behalve dat het nog belangrijker is dat ze tijdig in staat zijn het nieuwe Digitale Paspoort te accepteren. Het gaat hierbij immers om hogere volumes gebruikers.

De feitelijke vervanging van het Digitaal Paspoort vindt plaats tussen 1 september en 1 oktober, maar de administratieve voorbereiding hierop start op 1 augustus 2020. De gebruiker moet een Digidentity-account en/of een eHerkenningsmiddel (niveau 3) aanmaken. Hiermee in augustus beginnen heeft als voordeel dat het vervangen van het oude DP (in september) efficiënter verloopt.

De nieuwe Digitale Paspoorten zijn 1 jaar geldig.

Een eHerkenningsmiddel kan aangeschaft worden bij erkende leveranciers: We-ID, ZLogin, QuoVadis, Reconi, Digidentity en KPN. Deze 6 leveranciers zijn erkend door de Rijksoverheid en alleen zij mogen eHerkenning leveren. Ze voldoen allemaal aan dezelfde eisen die worden gevraagd, maar concurreren met elkaar in onder andere manier van inloggen (zoals app, sms of token), service en prijs.