Het DSGO maakt gebruik van Transport Layer Security (TLS) om authenticatie op transport niveau en de vertrouwelijkheid van informatie van communicatie over HTTP te waarborgen. Wanneer HTTP communicatie beveiligd is volgens het TLS protocol is sprake van HTTPS (HypterText Transfer Protocol Secure). Hiermee is het afsprakenstelsel in lijn met de API strategie voor de Nederlandse Overheid, het iSHARE (v2.0) en het Centre of Excellence for Data Sharing and Cloud (CoE-DSC) Use Case Implementation Guide die gebaseerd zijn op deze zelfde standaarden.
Bron: API strategie voor de Nederlandse Overheid - API Beveiliging
API's zijn vanaf elke locatie vanaf het internet te benaderen. Om uitgewisselde informatie af te schermen wordt altijd gebruik gemaakt van een versleutelde verbinding op basis van TLS. Geen uitzonderingen, dus overal en altijd.
De recentste en wenselijke versie van TLS is v1.3, en is beschreven in RFC 8446. TLS v1.2 is een vaak voorkomende implementatie van TLS, en is beschreven in RFC 5246. Om interoperabiliteit tussen systemen te garanderen kan in het DSGO altijd worden teruggevallen op TLS v1.2.
Partijen MOETEN API endpoints beveiligen met minimaal TLS v1.2
Partijen ZOUDEN API endpoints MOETEN beveiligen met TLS v1.3
Partijen MOETEN API verzoeken die niet beveiligd zijn met TLS v1.2 of TLS v1.3 afwijzen
Partijen MOETEN voor alle machine-to-machine interacties gebruik maken van one-way (server only) TLS
Partijen MOETEN voor alle human-to-machine interacties gebruik maken van one-way (server only) TLS
Partijen MOETEN bij toepassing van het TLS protocol certificaten gebruiken met een minimale sleutellengte van 2048 bits en maximale geldigheid van twee jaar
TLS Certificaten
Het afsprakenstelsel maakt gebruik van QWACs (Qualified Website Authentication Certificates) in TLS om de identiteit van webservers te authenticeren en de vertrouwelijkheid, integriteit en authenticiteit van communicatie tussen partijen mogelijk te maken. QWACs worden in lijn met de eIDAS regulering uitgegeven door gekwalificeerde vertrouwensdienstverleners op de List of Trusted Lists (LOTL).
Bron: European Parlaimant - Qualified certificates for website authentication
What is a qualified certificate for website authentication (QWAC)?
A QWAC is a website authentication certificate governed by the eIDAS Regulation. Each QWAC contains information about the entities issuing and receiving the certificate, as well as information about the certificate itself. QWACs are issued by qualified trust service providers (QTSPs) as defined in the eIDAS regulation. QWACs are used beyond websites as they authenticate the connection and the identity of the entity or person in control of the connection.
Partijen MOETEN QWACs als certificaat gebruiken voor het one-way (server only) TLS protocol
Partijen MOETEN alle root certificaten voor QWACs van CAs op de EU/EEA List of Trusted Lists (LOTL) en PKIO accepteren
Partijen MOETEN een QWAC gebruiken die overeenkomt met hun Organisatie ID (EORI of KvK-nummer). Zie Identificatie van organisaties voor meer informatie.
Toelichting keuze QWAC certificaten
Om een TLS verbinding op te zetten zijn SSL/TLS certificaten nodig. Er zijn veel uitgevers van SSL/TLS certificaten. De mate van verificatie van de identiteit van de aanvrager van SSL/TLS certificaten is sterk afhankelijk van de uitgever. Omdat er verschil kan zitten in het vertrouwensniveau van de uitgevers, biedt dit niet voldoende vertrouwen om interoperabiliteit te garanderen tussen partijen in het DSGO.
Een QWAC is een SSL/TLS certificaat die door een vertrouwde uitgever is uitgegeven onder de Europese eIDAS verordening. Het DSGO maakt gebruik QWACs omdat de identiteit van de aanvrager van een QWAC zorgvuldig wordt geverifieerd volgens de eIDAS verordening. Dit biedt rechtszekerheid over de juridische entiteit van datadienstaanbieders op Europees niveau.