Kan verplichtstelling helpen om PKIo te laten doorbreken?
Voor het beveiligen van overheidswebsites is het verplichtstellen van PKIo zeker een optie. Ondanks dat de beveiligingsmeerwaarde beperkt is ten opzichte van andere, commerciële digitale certificaten, geeft een PKIo-certificaat aan dat het om een overheidswebsite gaat. Het wordt dan onderdeel van het overheidswaarmerk en straalt vertrouwen uit. Dat effect versterkt zodra alle overheidswebsites PKIo toepassen. Een passende manier om PKIo af te dwingen voor websites zou via opname in de pas-toe-of-leg-uit (PTOLU) lijst van het Forum Standaardisatie zijn.
Veilige berichtenuitwisseling tussen servers van overheidsorganisaties kan heel goed op basis van PKIo-certificaten. De Baseline Informatiebeveiliging Rijksoverheid (BIR) vindt dit al een voorkeursoptie voor veel situaties. Het ook verplichten voor niet-overheidspartijen druist echter in tegen o.a. de Europese eIDAS verordening over vertrouwensdiensten en is niet wenselijk. Voor servercommunicatie is het beter om eisen te stellen aan het betrouwbaarheidsniveau van het te gebruiken certificaat in plaats van algemene verplichtstelling van PKIo.
Lastiger wordt het om PKIo-certificaten verplicht te stellen voor authenticatiedoeleinden. Voor de eigen overheidsmedewerkers kan dit, maar voor andere personen ligt dit niet voor de hand. Voor authenticatie zijn al diverse andere oplossingen, zoals DigiD en eHerkenning voor het burgerdomein en iDIN voor het consumentendomein. Daarbij zijn er steeds meer Europese, eIDAS genotificeerde middelen. Veel concurrentie en interferentie met eIDAS, wat verplichtend gebruik van PKIo verhinderd.
Tot slot digitaal ondertekenen of waarmerken. Dit is nog een relatief onontgonnen gebied waar enige harmonisatie wenselijk is. Ook hier geldt, net als bij de websites, dat alle door de overheid gecommuniceerde officiële stukken best met een PKIo-certificaat gewaarmerkt mogen zijn. Ook dit zou middels de PTOLU-lijst kunnen.
De onderstaande figuur vat de visie van uniforme toepassingen van PKIo samen voor het overheidsdomein. Binnen de overheid en vanuit de overheid naar buiten ligt toepassing van PKIo voor de hand. Voor communicatie van burgers en bedrijven richting de overheid is PKIo niet verplicht, maar kan wel. In ieder geval dient aan specifieke betrouwbaarheidsniveaus te worden voldaan.