Om ervoor te zorgen dat niet álle certificaten vervangen hoeven te worden is een vervangingsplan opgesteld. Kort samengevat bestaat het plan uit de onderstaande handelingen:
1. Certificaatverstrekkers vervangen alle EV-eindcertificaten onder de EV-root door OV-eindcertificaten onder hetzelfde stamcertificaat, de EV-root. Dit is inmiddels uitgevoerd.
2. Certificaatverstrekkers en de certificaathouders vervangen in samenwerking alle OV-eindcertificaten onder de publieke G3-root. Deze vervangen zij, afhankelijk van de situatie:
a. webverkeer (HTTPS)
Eindcertificaten die dienen voor het beveiligen van webverkeer worden overgezet naar publieke CA2020 eindcertificaten onder de EV-root.
b. machine-naar-machineverkeer
Eindcertificaten die alleen dienen voor machine-naar-machineverkeer worden overgezet naar private eindcertificaten onder de G1-root. Er kan ook worden gekozen om tijdelijk gebruik te maken van publieke CA2020 eindcertificaten onder de EV-root.
3. Logius verzoekt vanuit de rol als Policy Authority (PA) de browsers om de G3-Root uit de Browser Trust stores terug te trekken.
De status van punt 3 als hierboven gemeld per januari 2021
In de afgelopen periode is Logius in gesprek geweest met Microsoft, Mozilla, Google en Apple over het terugtrekken van de G3-root uit de truststore. Dit document bevat de uitkomst van die gesprekken.