Per 1 januari 2011 wordt vanuit PKIoverheid de uitgifte van PKIoverheid certificaten uit de G2-root verplichtgesteld. De zogenoemde ‘Generation 2’ root (Voluit: Staat der Nederlanden Root Ca – G2) is voorzien van het sterke SHA 256 algoritme.
SHA-1 vs. SHA-2
Op dit moment zijn er twee certificaathiërarchieën binnen PKIoverheid. Na verloop van tijd zijn steeds sterkere algoritmes nodig om de betrouwbaarheid van certificaten te kunnen garanderen. Alle certificaten binnen eenzelfde hiërarchie zijn gebaseerd op hetzelfde algoritme. Alle tot nu toe uitgegeven PKIoverheid certificaten zijn gebaseerd op het SHA1-algoritme; de nieuwe hiërarchie op SHA256 oftewel SHA-2.
Advies NIST
De Amerikaanse overheidsorganisatie National Institute for Standards and Technology (NIST) adviseert om tot uiterlijk 31 december 2010 SHA-1-certificaten uit te geven en dan over te gaan op een algoriime van de sterkere SHA-2-familie. Met het inrichten van de hiërarchie met het SHA256-algoritme volgt PKIoverheid dit advies.
G2
De nieuwe hiërarchie van PKIoverheid is te herkennen aan een toevoeging in de naam van een certificaat: G2 (de tweede generatie). Naast het gebruik van het SHA-2 algoritme, is voor de G2-root ook een sleutellengte van 2048 bits vereist.