Veel gestelde vragen over vervanging Digitale Paspoorten

Via de beproefde vraag-antwoordmethode informeert SIVI u over de komende vervanging van de Digitale Paspoorten. Het accent ligt hierbij op het waarom en wanneer. Digidentity gaat u informeren over de details (processtappen, benodigde gegevens etc.).

Vervangen oude Paspoorten

Rond de huidige Digitale Paspoorten manifesteert zich een compliance-issue dat gevolgen heeft voor gebruikers (bijvoorbeeld financiële adviseurs, medewerkers bij verzekeraars) en online dienstverleners (bijvoorbeeld verzekeraars, serviceproviders, maar ook organisaties als CIS en Solera).
Dit issue speelt wereldwijd en raakt een groot aantal gebruikers van PKI client-certificaten. Hier is aan de kant van Digidentity sprake van absolute overmacht. Het onderschrijft wel de noodzaak om over te stappen op eHerkenning en afscheid te nemen van Digitale Paspoorten.
De kern is dat de Digitale Paspoorten die nu gebruikt worden, vanaf oktober 2020 vervangen moeten zijn. De oplossing is dat – in de periode 1 september tot 1 oktober 2020 – alle gebruikers overstappen op een separaat nieuw Digitaal Paspoort of de Digidentity-bundel. Dit laatste is het combimiddel van een nieuw Digitaal Paspoort en eHerkenning. De planning voor wat betreft de migratie van Digitaal Paspoort naar eHerkenning blijft zoals die was: uiterlijk 31 december 2021 zijn alle online dienstverleners over op eHerkenning.

Begin juli 2020 is gemeld dat verschillende Certificate Authorities (CA) die certificaten voor het beveiligen van websites uitgeven, niet voldoen aan bepaalde eisen van de belangrijkste internetbrowsers (Mozilla, Apple, Google, Microsoft). Het niet voldoen aan deze eis heeft geleid tot een beveiligingsrisico.
Het gaat om een wijdverbreid issue: hier is dan ook sprake van overmacht aan de kant van Digidentity. Dit issue raakt ook de ‘oude’ (huidige) Digitale Paspoorten. Het issue heeft zowel landelijk als internationaal gevolgen voor afgegeven certificaten.

Dit issue had zich ook gemanifesteerd als geen sprake was van een migratie naar eHerkenning.

De fout die is geconstateerd is dat in het certificaat van de Issuing CA een veld is opgenomen waardoor het mogelijk is dat de Issuing CA ook het getekende antwoord kan geven: niet alleen voor de eigen certificaten, maar ook voor certificaten die binnen hetzelfde domein vallen.
De eis vanuit de belangrijkste internetbrowsers (Mozilla, Apple, Google, Microsoft) om het probleem op te lossen, is dat de huidige Issuing CA ingetrokken worden, en de sleutels vernietigd. Dit heeft tot gevolg dat alle onderliggende certificaten (Digitale Paspoorten) ook ingetrokken worden, en dus vervangen moeten worden.
Misbruik van het risico is klein en vraagt kennis, expertise en toegang tot de zwaarbeveiligde systemen van CA’s. Desondanks eisen de (leveranciers van de) browsers dat dit risico op korte termijn wordt gemitigeerd. Dit onder druk van het niet langer accepteren van deze certificaten waardoor feitelijk de certificaten niet langer bruikbaar zijn om in te loggen.

Het gevolg is dat eindgebruikers hun Digitale Paspoort moeten vervangen.

De Digidentity oplossing betekent de vervanging van de huidge Digitale Paspoorten door nieuwe Digitale Paspoorten. Hiertoe moet de gebruiker een aantal acties uitvoeren, waaronder het aanmaken van een Digidentity-profiel. Daarna ontvangt hij/zij een nieuw Digitaal Paspoort. Op deze manier blijven de inlogmogelijkheden met Digitale Paspoorten gewaarborgd. Ondertussen gaat de migratie van Digitaal Paspoort naar eHerkenning gewoon door. Maar na 1 september 2020 heeft de klant een keuze:

  • eerst overgaan naar een separaat nieuw Digitaal Paspoort;
  • of direct overstappen op het combimiddel van nieuw Digitaal Paspoort en eHerkenning, de zogenaamde Digidentity-bundel.

Alle online dienstverleners weten al lange tijd dat zij maatregelen moeten nemen om vanaf 1 september 2020 het nieuwe Digitale Paspoort (als onderdeel van de Digidentity-bundel) te accepteren. Voor hen verandert door het issue niets, behalve dat het nog belangrijker is dat ze tijdig in staat zijn het nieuwe Digitale Paspoort te accepteren. Het gaat hierbij immers om hogere volumes gebruikers.

De feitelijke vervanging van het Digitaal Paspoort vindt plaats tussen 1 september en 1 oktober, maar de administratieve voorbereiding hierop start op 1 augustus 2020. De gebruiker moet een Digidentity-account aanmaken. Dit heeft als voordeel dat het vervangen efficiënter verloopt.

De nieuwe Digitale Paspoorten zijn 1 jaar geldig.