ZorgTTP heeft nieuwe beveiligingscertificaten. Wat moet ik doen?

ZorgTTP heeft nieuwe beveiligingscertificaten. Wat moet ik doen?

Wanneer de PVM aan u meldt dat ZorgTTP nieuwe beveiligingscertificaten heeft, vragen wij u met de knop “Instellingen” het scherm te openen waarop certificaatinstellingen zijn aan te passen.
U vindt op dit scherm een tabblad “Vertrouwde certificaten” waarop in dit geval een aantal nieuwe certificaten wordt gepresenteerd. Deze certificaten spelen een belangrijke rol in het veilig en betrouwbaar versleutelen van de gegevens die u met de PVM verstuurt.

U kunt deze stap enige tijd uitstellen. Als u nu uw gegevens wilt versturen, is dat mogelijk zolang de daarvoor benodigde digitale beveiligingscertificaten nog geldig zijn. Bekijk het kwaliteitsverslag om te weten te komen tot wanneer u nog voort kunt met de huidige certificaten.

Omdat het zo belangrijk is alleen de juiste certificaten te vertrouwen, is het in gebruik nemen van nieuwe certificaten een actie met een extra veiligheidsstap. Voert u alstublieft met ingang van 26 april 2021 deze korte bevestigingscode in:

57cf5ae4

Met deze code vertrouwt u de volgende certificaten:

  • ZorgTTP CMT productieomgeving geldig tot en met 26-8-2023
  • Quovadis Trust Anchor CA G2
  • VECOZO G3
  • VECOZO G4, nieuw vanaf 26-04-2021

Desgewenst kunt u gebruik maken van een van onderstaande complete hashes:

SHA-256
e9cc7ae64181e6d89cc1d843d80a154d613138591986d3362aeac086861b75fd
SHA-512
4b907ce991caaeb0355e7d27691291b9f6b2e89aefa8a71b48a2c985f7c18b908f7f11d46d11104d17f47e2a6bfc69695e5d5cd7ab1086667b6a3d0103b483d8
SHA3-256
b514b569f8078da394d97ea1b7da75a526b61ac61964ea7bb77b2ad54be1dca1
SHA3-512
198c0a32bccc9e115a6d55219dedf23df1c3f38b7662c67111e38fb3748cbc592b9762ca51171688409e4785856976415460eddc32ff6bf58d2073d96191dad9


Kan ik iemand bellen?

Ja, onze servicedesk is beschikbaar voor ondersteuning.

 

categorie Certificaten, PVM

Wat te doen bij status “Ingetrokken certificaat (OCSP)”?

In geval van status “Ingetrokken certificaat (OCSP)”  ziet u foutcode 1095 – Certificaat verlopen in uw kwaliteitsverslag.

Waarom krijg ik deze melding?

U maakt gebruik van een oude versie van de PVM waarmee niet langer bestanden verzonden mogen worden. Dit komt omdat het Quo Vadis certificaat waarmee gegevens worden versleuteld in de PVM ongeldig is gemaakt en dus niet meer kan worden gebruikt. Voor meer informatie met betrekking tot het intrekken van Quo Vadis certificaten verwijzen wij u naar de nieuwsberichten over dit onderwerp op onze website.

Heb ik een nieuw certificaat nodig?

Nee, deze melding betreft het certificaat van de PVM en dus niet uw eigen certificaat. Uw eigen certificaat blijft dus gewoon geldig. Door up te daten naar de nieuwste versie van de PVM lost u de fout op en kunt u uw bestanden aanleveren.

U vindt de nieuwste versie van de PVM op onze site onder het kopje downloads.

Moet ik verder nog wat doen?

Nee, het updaten van de PVM naar de nieuwste versie lost het probleem op.

Kan ik iemand bellen?

Ja, onze servicedesk is beschikbaar voor ondersteuning.

 

categorie Certificaten, PVM

Mijn nieuwe certificaatwachtwoord wordt niet toegestaan, waarom niet?

Bij het aanmaken van een nieuw certificaat, voert u een nieuw wachtwoord in. Wanneer uw wacht­woord voorkomt in de database met gelekte wachtwoorden, kunt u deze waarschuwing krijgen:

Waarom deze controle?

Omdat we informatiebeveiliging belangrijk vinden. Volgens de algemeen aanvaarde richtlijnen (zoals NIST sp800-63b) is het verstandig bij invoer van een nieuw wachtwoord, dit te verifiëren tegen uit bekende datalekken openbaar geraakte wachtwoorden.

Hoe controleert de PVM mijn wachtwoord?

De PVM stuurt uw wachtwoord niet over het internet op! De PVM controleert één keer per week of uw wachtwoord misschien onveilig is. Hiervoor wordt een cryptografische hash van uw wachtwoord, ingekort tot 5 tekens, opgestuurd naar de haveibeenpwned service. Door deze werkwijze komt niemand uw wachtwoord te weten. De controle vindt plaats door de circa 300 geretourneerde hashes met dezelfde eerste 5 tekens van daadwerkelijk onveilige wachtwoorden in de PVM te doorzoeken op de complete hash van uw wachtwoord. Komt deze niet voor dan is het wachtwoord niet bekend geworden in een van de vele lekken in de afgelopen jaren. Komt uw wachtwoord wel voor, dan is het onveilig en kunnen we u daarvoor waarschuwen.

Wat moet ik doen?

Kies een ander wachtwoord. Een goed wachtwoord is voldoende lang, niet eerder gebruikt maar nieuw en volkomen willekeurig.

Tip; maak gebruik van een wacht­woordmanager om het aan te maken en beheren.

 

 

categorie Certificaten, PVM

Wat moet ik doen als de PVM meldt “Uw wachtwoord komt voor in de HIBP database van wachtwoorden uit datalekken”?

Waarschuwing zwak of gelekt wachtwoord

Waarom krijg ik deze melding?

U gebruikt voor het certificaat dat aan de PVM gekoppeld is een wachtwoord. Dat wachtwoord is onveilig. Waarom? Omdat het nogal kort is, een veelgebruikt normaal woord is of omdat het wachtwoord vaker door anderen of u gebruikt wordt. Bijvoorbeeld ‘welkom01’. Ook kan het door u gekozen wachtwoord gebruikt zijn op een website waarvan bekend is dat die te maken had met een hack waarbij wachtwoorden van vele gebruikers zijn gestolen (LinkedIn, Yahoo). Zwakke of gelekte wachtwoorden worden gebruikt door kwaadwillenden om te proberen accounts op andere websites te kraken. De PVM controleert één keer per week of uw wachtwoord misschien onveilig is.

Heb ik een nieuw certificaat nodig?

Het idee achter de waarschuwing is dat u het onveilige wachtwoord dat u voor de PVM gebruikt niet opnieuw moet gebruiken. U kunt de PVM met dit certificaat en wachtwoord in principe blijven gebruiken tot het verstrijken van de looptijd. ZorgTTP past aanvullende controles toe bij de ontvangst van berichten waardoor het risico dat iemand zich als u voordoet verwaarloosbaar is.

Moet ik verder nog wat doen?

Misschien gebruikt u hetzelfde wachtwoord wel bij een andere dienst of website. Dan is het verstandig om daar uw wachtwoord aan te passen. Gebruik voor verschillende diensten altijd een nieuw en uniek wachtwoord. Om de vele wachtwoorden te beheren gebruikt u het beste een wachtwoordmanager.

Hoe controleert de PVM mijn wachtwoord?

De PVM stuurt uw wachtwoord niet over het internet op, maar maakt gebruik van de database en bijbehorende webservices van haveibeenpwned. Op de website vindt u Engelstalige uitleg over de werking en herkomst van de gegevens. Voor de controle wordt een cryptografische hash van uw wachtwoord opgestuurd naar de haveibeenpwned service. De hash wordt voor verzending ingekort tot 5 tekens. Daardoor komt niemand uw wachtwoord te weten. De controle vindt plaats door de circa 300 geretourneerde hashes met dezelfde eerste 5 tekens van daadwerkelijk onveilige wachtwoorden in de PVM te doorzoeken op de complete hash van uw wachtwoord. Komt deze niet voor, dan is het wachtwoord niet bekend geworden in een van de vele lekken in de afgelopen jaren. Komt uw wachtwoord wel voor, dan is het onveilig en kunnen we u daarvoor waarschuwen.

 

categorie Certificaten, PVM

Welke uitgaande verbindingen maakt de PVM?

De Privacy Verzend Module (PVM) van ZorgTTP pseudonimiseert de aangeboden gegevens en maakt daarbij gebruik van beveiligde internetverbindingen met de Centrale Module TTP  bij ZorgTTP. In dit artikel vindt u terug welke verbindingen nodig zijn en hoe deze gemaakt worden.

De PVM maakt externe verbindingen voor de onderstaande taken:

Softwareversiecontrole www.zorgttp.nl
Nieuw certificaat op naam www.zorgttp.nl
Controle intrekking afnemercertificaat ocsp.quovadisglobal.com
Upload naar CMT www.zorgttp.nl of secure.zorgttp.nl
Controle aanleverplanning DIS www.disportal.nl
HIBP wachtwoordcontrole www.zorgttp.nl of api.pwnedpasswords.com
Verbinding met TRES https://tres-p.zorgttp.nl/

Een beveiligde verbinding maakt gebruik van het TLS protocol versie 1.2. In dit protocol identificeert de server zich met een digitaal certificaat uitgegeven door een Certificate Authority (CA). De verbinding komt alleen tot stand wanneer de CA bevestigt dat het certificaat nog actief is en niet ingetrokken. Hierbij wordt de OCSP service gebruikt (of eventueel de CRL geraadpleegd). De server certificaten zijn ondertekend door een keten van certificaten die uitkomt bij een vertrouwd root certificaat. De PVM con­troleert alle certificaten in de keten op intrekking.

De afnemercertificaten zijn digitale certificaten die worden uitgegeven door de QuoVadis CA en worden gebruikt voor de versleuteling  van de te pseudonimiseren gegevens. De PVM controleert de status van het afnemercertificaat eveneens door middel van OCSP.  Het enige gebruik van QuoVadis certificaten voor TLS betreft de client authenticatie voor pseudonimisatie binnen de Risicoverevening. In dat geval wordt door de PVM verbinding gemaakt met secure.zorgttp.nl voor de upload van gegevens naar CMT.

categorie PVM