PKI-certificaten: wat zijn het en wat is het belang ervan?

Wie op een veilige manier digitaal informatie wil uitwisselen met overheidsdiensten maakt gebruik van een PKI-certificaat. Voor de belastingaangifte is dit al noodzakelijk, maar ook voor erkende beroepsgroepen zoals notarissen en accountants zijn de certificaten een belangrijke veiligheidsmaatregel. Voor wie zijn PKI-certificaten en wat is het doel ervan?

Met de inrichting van een eigen public key infrastructure (PKI) biedt de Nederlandse overheid personen, bedrijven en overheidsdiensten veilige onderlinge communicatie. Net als met de bekendere reguliere SSL-certificaten, zijn de overheidscertificaten bedoeld om websites te beveiligen, documenten te ondertekenen en voor digitale authenticatie. Van dit laatste is bijvoorbeeld sprake wanneer iemand wil controleren of de informatie van een persoon of server wel echt van diegene afkomstig is. Of dat er mogelijk sprake is van (identiteits)fraude.

Digitaal paspoort

Het certificaat geeft in dat geval uitsluitsel. Het bevat onder meer informatie over de certificaathouder, de geldigheidsperiode en de uitgever van het ervan. Een PKI-certificaat is dus te zien als een digitaal paspoort. Uniek aan PKIoverheid is dat de bijbehorende certificaten voldoen aan de eisen van de Nederlandse overheid. De echtheid ervan is afgeleid van een stamcertificaat: ‘Staat der Nederlanden Root CA’. Dit is een groot verschil met andere certificaten, waarbij een commercieel bedrijf de vertrouwde derde partij is, ofwel de ‘trusted third party’.

PKIoverheid is in eerste instantie ontwikkeld voor bedrijven en instellingen binnen de publieke sector of personen of organisaties die daarmee communiceren. Hoewel het gebruik van de certificaten niet wettelijk verplicht is, groeit voor velen wel het belang ervan. Om een voorbeeld te geven: ondernemingen die hun belastingaangifte doen vanuit eigen administratiesoftware en financiële gegevens sturen aan het overheidskanaal Digipoort, hebben daarvoor al een PKI-servercertificaat nodig. Ook voor het ontvangen van (sommige) reacties van de Belastingdienst is een certificaat onmisbaar. Binnen de digitaliserende rechtspraak is eenzelfde ontwikkeling gaande. Bewindvoerders of wettelijke vertegenwoordigers gebruiken het certificaat om te ondertekenen en informatie veilig uit te wisselen.

Welke PKI-certificaten zijn er?

Bij de uitgifte wordt onderscheid gemaakt tussen een aantal typen certificaten, elk bruikbaar binnen een eigen context.

Een servercertificaat is bedoeld voor de beveiliging van websites, applicaties en transacties. Het standaard SSL-certificaat is de bekendste variant en is zichtbaar als ‘slotje’ in de webbrowser. Daarmee geeft de eigenaar zekerheid over de identiteit van de website of applicatie en levert het certificaat de noodzakelijke encryptie van de gegevens. Een servercertificaat is eveneens te gebruiken om het verkeer tussen servers onderling te beveiligen. De uitwisseling van data met overheden en banken (Standard Business Reporting, SBR) is daarvan een voorbeeld. Net als een koppeling met het eerdergenoemde Digipoort.

Een beroepscertificaat is in het leven geroepen om personen uit hoofde van hun (erkende) beroep te laten communiceren. Onder meer medici, deurwaarders, notarissen en accountants gebruiken het beroepscertificaat om hun e-mailverkeer te beveiligen, documenten rechtsgeldig te ondertekenen en digitaal informatie uit te wisselen. Denk daarbij aan de informatie-uitwisseling met het Kadaster en de Kamer van Koophandel, de ondertekening van een jaaropgave of het uitsturen van een dagvaarding. Met een beroepscertificaat in bezit is daarnaast een eHerkenningsmiddel (niveau eH4) aan te vragen.  

Een persoonlijk of groepscertificaat is er speciaal voor individuen of medewerkers van bedrijven. Net als met het server- en beroepscertificaat is deze te gebruiken voor de beveiliging van (persoonlijke) e-mails of om documenten namens de werkgever te ondertekenen. Voor situaties waarin het niet mogelijk is persoonsnamen te gebruiken - bijvoorbeeld bij gebruik van een algemeen e-mailadres - biedt het groepscertificaat uitkomst.

Waar vraag ik een PKI-certificaat aan?

In een groeiend aantal situaties is een PKI-certificaat dus een belangrijk veiligheidsmiddel. De vraag is dan waar ze zijn aan te vragen. Hoewel de Nederlandse overheid verantwoordelijk is voor de public key infrastructure, heeft zij onder meer KPN gevraagd de uitgifte van bijbehorende certificaten op zich te nemen. Als Trust Service Provider (TSP) zet KPN de ruime ervaring in om zowel bedrijven als overheidsinstellingen te adviseren en ondersteunen bij het gebruik.

Door de toenemende digitalisering vindt ook de (gevoelige) informatie-uitwisseling steeds vaker online plaats. Dit vraagt natuurlijk om de juiste voorzorgsmaatregelen. De PKI-overheidscertificaten dragen daar in grote mate aan bij en zorgen voor veilige communicatie.

Gerelateerde artikelen