CA-certificaten G4

Het CIBG geeft in de huidige situatie UZI-passen uit onder de Publieke G3 hiërarchie van PKIoverheid en geeft servercertificaten uit onder de Private G1 hiërarchie van PKI overheid. De einddatum van deze beide hiërarchieën is 12 november 2028.

Vanwege deze naderende einddatum worden de UZI-passen en servercertificaten vanaf 12 november 2026 onder nieuwe CA hiërarchieën uitgegeven. Dit betekent dat u uiterlijk in oktober 2026 de benodigde aanpassingen gedaan moet hebben om de nieuwe CA hiërarchieën mogelijk te maken.

Figuur 1 Nieuwe CA hiërarchie passen geeft het nieuwe CA model weer voor de productieomgeving van de Zorg CSP. De naamgeving (subject.CommonName in de betreffende CA certificaten) van de CA’s is conform figuur 1. De naamgeving is Case Sensitive. De CA’s die de certificaten ondertekenen, zijn cursief en lichtgrijs weergegeven.

Om overlappende normenkaders en bijbehorende compliance risico’s zoveel mogelijk te voorkomen, is bij de PKIoverheid G4 omgeving een differentiatie in Root CA’s doorgevoerd. Voor CIBG/UZI zijn relevant:

1. een generieke Private Root CA voor servercertificaten;
2. specifieke Private Root CA’s voor uitgifte van niet gekwalificeerde certificaten binnen diverse branches zoals de zorgsector;
3. een generieke Private Root CA voor eIDAS gekwalificeerde certificaten.

Vanuit Logius is er dus gekozen om een aparte (generieke) hiërarchie aan te maken voor de eIDAS gekwalificeerde elektronische handtekening certificaten. Voor het authenticiteit en vertrouwelijkheidscertificaat is er een aparte, CIBG specifieke, private hiërarchie gemaakt. De persoonlijke UZI-passen (Zorgverlenerpas en Medewerker pas op naam) bevatten daarom straks certificaten van twee hiërarchieën.

Voor servercertificaten verandert er weinig in de G4 architectuur. Er blijft een generieke Private Root CA in gebruik waaronder ook de commerciële TSP’s servercertificaten uitgeven. Het enige verschil is dat de ‘Staat der Nederlanden - G4 Root Priv G-TLS - 2024’ technisch beperkt is tot uitgifte van TLS/Servercertificaten.

Figuur 2 Nieuwe CA hiërarchie Servercertificaten geeft het nieuwe CA model weer voor de productieomgeving van de Zorg CSP voor servercertificaten. De naamgeving (subject.CommonName in de betreffende CA certificaten) van de CA’s is conform figuur 2. De naamgeving is Case Sensitive. De CA’s die de certificaten ondertekenen, zijn cursief en lichtgrijs weergegeven. De S staat voor Servercertificaat.

Bij invoering zijn de volgende zaken gewijzigd in het CA model:

1. Gewijzigde algoritmen en sleutellengte (zie voor details de volgende vraag)
2. Uitgifte van certificaten voor passen gaat van één publiek vertrouwde CA hiërarchie (oud) naar twee private CA hiërarchieën (nieuw).
3. In Medewerker niet op naam passen vervalt de (optionele) mogelijkheid om een afdelingsnaam op te geven. Logius staat het gebruik van dit specifieke veld (subject.organizationalUnitName) onder de G4 hiërarchie niet meer toe.

Ja, er zijn de volgende wijzigingen:

1. Gewijzigd algoritme voor ondertekening.
   De G4 hiërarchie gebruikt de volgende algoritmen: de RSASSA-PSS variant van het RSA algoritme met als parameters het SHA512 hashing algoritme en de Mask Generator Function 1 (MGF1).
    
2. Gewijzigde sleutellengte publieke sleutels UZI-passen
   Met de ingang van de nieuwe hiërarchie wordt ook een verhoging van de sleutellengte van de publieke sleutels die zijn opgenomen in de passen beoogd. Deze sleutellengte gaat omhoog van 2048 bits RSA naar 4096 bits RSA. De aanleiding is een aanscherping van beveiligingsrichtlijnen. De bestandsgrootte van de certificaten en ondertekende berichten zal hierdoor ook toenemen. Het is vastgesteld dat verouderde kaartlezers niet compatibel zijn met deze nieuwe sleutellengte en gebruikers van UZI-passen deze kaartlezers moet vervangen. Voor 4096 bits RSA sleutels is ondersteuning van de kaartlezer voor zogenoemde extended APDU’s vereist. De kaartlezers die t/m 2012 kosteloos zijn verstrekt door het CIBG in het kader van de subsidieregeling LSP / EPD zijn hiervoor bijvoorbeeld niet geschikt. Ga naar www.uziregister.nl/kaartlezer om te controleren of uw kaartlezer nog voldoet.

Overige aanpassingen

Tot slot zijn er kleine wijzigingen doorgevoerd in de certificaatprofielen om te voldoen aan het actuele normenkader. Deze zijn in detail beschreven in het ‘CA model, Pasmodel, Certificaat- en CRL-profielen Zorg CSP’ document zoals gepubliceerd op de website. Een van de wijzigingen is bijv. dat er nieuwe policyIdentifiers zijn opgenomen.

Voor gebruik van de nieuwe G4 UZI-passen is een nieuwe versie van de Safesign Software (middleware) nodig, versie 4.6 of hoger.

De root en intermediate CA certificaten zijn gepubliceerd op https://cert.pkioverheid.nl. De relevante download links zijn ook opgenomen in de onderstaande tabel.

Tabel 1 Levensduur nieuwe CA Hiërarchie G4 EUTL gekwalificeerde handtekening (t.b.v. passen)

Tabel 2 Levensduur nieuwe CA hiërarchie CIBG Private (t.b.v. passen)

Tabel 3 Levensduur nieuwe CA hiërarchie G4 Private TLS (t.b.v. servercertificaten)

Vanwege eerdere aanscherpingen binnen de regels van het CA/Browser forum is in 2023 besloten om de ondersteuning voor  de functionaliteit voor het beveiligen van e-mail (emailEncryption) in de UZI-passen stop te zetten. Het betreft de ondersteuning voor Secure/Multipurpose internet Mail Extensions (S/MIME). Daarmee verviel tevens een belangrijke reden om gebruik te willen blijven maken van een publiek vertrouwde root CA. Omdat de private root CA’s van PKIoverheid niet onder de eisen die browserpartijen stellen vallen, is het mogelijk om op sommige punten af te wijken van de eisen die de browserpartijen stellen. Bij een specifieke doelgroep (zoals de zorgsector) biedt dit meer flexibiliteit en mogelijkheden tot maatwerk.

Ja, deze vallen ook onder het toezicht van Logius en onafhankelijke certificering. Het wordt technisch en procedureel op dezelfde manier beheerd als de publiek vertrouwde hiërarchie. Het enige verschil is dat de formele procedures niet zijn uitgevoerd voor opname van het stamcertificaat in operating systemen en in browsers. Dit kan omdat de Private omgeving specifiek bedoeld is voor certificaten die in gebruik zijn in een semi-gesloten ecosysteem, zoals de zorgsector.

De officiële gegevens van de stamcertificaten zijn gepubliceerd in de Staatscourant: Staatscourant 2024, 37801 | Overheid.nl > Officiële bekendmakingen. Hieronder zijn de fingerprints opgenomen.

Tabel 4 Fingerprints stamcertificaten / Root CA's

Ja, deze blijven bruikbaar tot het einde van de geldigheidsduur waarvoor ze zijn uitgegeven.

Bij de aanvraag van UZI-passen en servercertificaten verandert niets.

Wij informeren u zodra wij een nieuwe testomgeving hebben die representatief is voor de nieuwe productieomgeving. Vanaf dat moment komen er testmiddelen beschikbaar voor het testen van applicaties. Dit geldt voor UZI-testpassen, UZI-testservercertificaten en ZOVAR-testservercertificaten. U kunt nu alvast een aanvraag indienen, zodat u de testmiddelen zo snel mogelijk ontvangt nadat deze beschikbaar zijn gekomen. De formulieren voor het aanvragen van G4 test middelen voor het UZI-register vindt u hier.

Het formulier voor het aanvragen van een ZOVAR-testservercertificaat vindt u hier.

Update 23-04-2026: Testpassen G4 en testservercertificaten G4 zijn vanaf heden beschikbaar. U vindt de bijbehorende technische documentatie hier.

Vanaf 12 november 2026 worden alle UZI-passen, UZI-servercertificaten en ZOVAR-servercertificaten uitgegeven onder de nieuwe G4 hiërarchieën.  Het is vanaf dat moment niet langer mogelijk om UZI-passen onder de publieke G3 root of servercertificaten onder de private G1 root te ontvangen.

Vanaf 12 november 2026 worden alle UZI-passen, UZI-servercertificaten en ZOVAR-servercertificaten uitgegeven onder de nieuwe G4 hiërarchieën.  Het is vanaf dat moment niet langer mogelijk om UZI-passen onder de publieke G3 root of servercertificaten onder de private G1 root te ontvangen. Voor de overgang gelden de volgende data.

UZI-pas

Voor het aanvragen van een UZI-pas die nog is uitgegeven onder G3 is het van belang om rekening te houden met de volgende data:

• Aanvraagformulieren UZI-pas via de post of via de uploadpagina dienen uiterlijk 2 november 2026 te zijn ontvangen door het CIBG.

• Aanvragen voor een UZI-pas via de digitale aanvraagfaciliteit dienen uiterlijk 8 november 2026 te zijn ingediend.

Indien de aanvraag UZI-pas niet volledig is, dan kunnen wij niet garanderen dat deze tijdig afgerond kan worden. In dat geval zullen wij contact met u opnemen met de aanvrager.

Let op: Het indienen van een vernieuwingsaanvraag voor een bestaande UZI-pas is alleen mogelijk indien de pas binnen 70 dagen verloopt.

UZI-servercertificaat

Voor het aanvragen van een UZI-servercertificaat onder de private G1 root is het van belang, vanwege de verwerkingstijd, dat deze uiterlijk 26 oktober 2026 is ingediend.

Door de afhankelijkheid van externe partijen voor de domeincontrole is de doorlooptijd langer dan bij UZI-passen.

Indien de aanvraag voor een UZI-servercertificaat niet volledig is, dan kunnen wij niet garanderen dat deze tijdig afgerond kan worden. In dat geval zullen wij contact met de aanvrager opnemen.

Dit moet u zelf nagaan. Voor het vertrouwen van de nieuwe CA hiërarchieën is een configuratie wijziging noodzakelijk; u moet de nieuwe CA certificaten toevoegen aan de zogenaamde ‘certificate trust store’ die uw systeem gebruikt. Daarnaast dient u te testen of u systeem om kan gaan met de wijzigingen in gebruikte algoritmen en de vergrootte sleutellengte op de UZI-pas. Met testmiddelen moet vastgesteld worden of de applicatie ook daadwerkelijk overweg kan met de nieuwe certificaatprofielen en de wijzigingen in algoritme en sleutellengte. Voor gebruik van een G4 UZI-pas dient u de laatste versie van de Safesign Software (middleware) te installeren.

De nieuwste Safesign Software kunt u hier vinden (Overzicht Safesign Token Beheer Programma software downloads nieuwste versies | UZI-register)

Ga naar www.uziregister.nl/kaartlezer om te controleren of uw kaartlezer nog voldoet.

De exacte geldigheid en het tarief voor de G4 middelen is op dit moment nog niet bekend. Het UZI-register zal op termijn worden vervangen door De zorgidentiteit, oftewel het dezi-register, waarna het CIBG zal stoppen met het zelf uitgeven van middelen. Bij de overgang naar het Dezi-register is er een duale periode voorzien, waarbij er nog steeds UZI-middelen uitgegeven worden. Meer informatie over De zorgidentiteit en de bijbehorende tijdslijn vindt u op de website www.dezi.nl.

De G in G4 staat voor Generatie. Het betreft de vierde generatie van CA certificaten binnen PKI-Overheid.

Bij de overgang naar De zorgidentiteit, oftewel het Dezi-register is er een duale periode voorzien, waarbij er nog steeds UZI-middelen uitgegeven worden. Voor het Dezi-register is een aanpassing van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg nodig, dit wetgevingstraject is nog lopende. Om gedurende de aankomende periode nog continuïteit van de bestaande UZI-middelen en ZOVAR-servercertificaten te kunnen bieden, is het noodzakelijk om nog nieuwe CA hiërarchieën te implementeren. Meer informatie over De zorgidentiteit en de bijbehorende tijdslijn vindt u op de website www.dezi.nl

Neem contact op met het klantcontactcentrum CIBG. Onze collega’s zijn telefonisch bereikbaar op werkdagen van 08.30 tot 17.00 uur via +31 70 340 60 20 of per e-mail via het contactformulier