Certificaten

Om gebruik te kunnen maken van gemeenschappelijke diensten binnen het zorgdomein, zoals ZORG-ID, is het noodzakelijk dat er eerst een of meerdere organisatiecertificaten worden geïnstalleerd. We leggen uit welke certificaten nodig zijn om dit tot stand te brengen zijn.
Ik wil informatie over
Selecteer een onderwerp

Lijst vertrouwde CA’s

Per 1 maart 2026 is het beleid rond de inrichting van de servercertificaten gewijzigd, omdat de EV/OV certificaten niet meer geschikt zijn voor machine-to-machine communicatie. De mTLS wordt nu op basis van PKIo-certificaten ingeregeld.

Private certificaten

Privé certificaten worden uitgegeven door gesloten of sectorspecifieke CA’s, zoals het UZI-register van het CIBG. Deze certificaten zijn niet standaard vertrouwd door browsers of systemen van derden. Gebruik in browsers leidt doorgaans tot beveiligingswaarschuwingen tenzij het rootcertificaat handmatig op de client is geïnstalleerd.

Privé certificaten zijn vooral bedoeld voor machine-to-machine communicatie binnen de zorgsector en voor authenticatie en ondertekening door zorgverleners. Voor testomgevingen bestaan aparte test-roots, zoals de TEST Zorg CSP Private Root CA.

Te vertrouwen PKIo Root‑CA’s:

 

 

ZORG-ID FQDN doorgeven voor de verbinding

Geef uw FQDN met trust chain aan ons door. Het FQDN (Fully Qualified Domain Name) is gelijk aan de SAN (Subject Alternative Name) van het certificaat. 

De FQDN en de bijbehorende trust chain (voor productie en acceptatie) dient u tijdig door te geven via een van de formulieren:

De FQDN wordt dan op de whitelist geplaatst van de ZORG-ID infrastructuur. Dit heeft een doorlooptijd van enkele dagen.

 

 

Nog tijdelijk vertrouwde certifcaten

Deze certificaten worden nog tijdelijk door ZORG-ID vetrouwd omdat deze mogelijk nog in omloop zijn:
  • KPN certSIGN OV server CA G2 (OV certificaat). We zullen dit tot 1 maart 2027 ondersteunen Trust chain: 
    - certSIGN ROOT CA G2 (geldig: 6-2-2017 t/m 6-2-2042)
    - - certSIGN Web CA (geldig: 6-2-2017 t/m 6-2-2027)
  • DigiCert (OV certificaat). We zullen dit tot 1 maart 2027 ondersteunen. Trust chain: 
    -DigiCert Global Root G2 (geldig:1-8-2013 t/m 15-1-2038)
    --DigiCert Global G2 TLS RSA SHA256 2020 CA1 (geldig: 30-3-2021 t/m 30-3-2031)
  • DigiCert+QuoVadis: QV Business SSL 10 SAN G2 (OV certificaat). Uitgifte is gestopt per 1 juli 2025. Trust chain: 
    - QuoVadis Root CA 2 (geldig: 24-11-2006 t/m 24-11-2031)
    - - QuoVadis Global SSL ICA G2 (geldig: 25-5-2022  t/m 24-5-2027)
    Alleen beschikbaar voor klanten die bij QuoVadis al een TLE account.
  • Sectigo InstantSSL (OV certificaat), uitgifte is gestopt per 15 mei 2025:
    - Sectigo AAA Certificate Services (valid: 01-01-2004 to 01-01-2029)
    -- USERTrust RSA Certification Authority (valid: 12-03-2019 to 01-01-2029)
    --- Sectigo RSA Organization Validation Secure Server CA (valid: 02-01-2018 to 01-01-2031)
  • Sectigo InstantSSL (OV certificaat). Vanaf 7 oktober 2025 zal Sectigo de Client Authentication EKU niet langer standaard opnemen in nieuw uitgegeven SSL/TLS-certificaten. Trust chain: 
    - Sectigo Public Server Authentication Root R46 (22-3-2021 t/m 22-3-2046)
    -- Sectigo Public Server Authentication CA OV R36 (22-3-2021 t/m 22-3-2036)
  • Sectigo InstantSSL (OV certificaat) Vanaf 7 oktober 2025 zal Sectigo de Client Authentication EKU niet langer standaard opnemen in nieuw uitgegeven SSL/TLS-certificaten.Trust chain: 
    - USERTrust RSA Certification Authority (valid: 01-02-2010 to 19-01-2038)
    -- Sectigo RSA Organization Validation Secure Server CA (valid: 02-01-2018 to 01-01-2031)